Cybersécurité : des signaux contradictoires sur l’évolution de certains budgets

Tout est rose dans l’industrie de la cybersécurité, si l’on en croît les analystes. A l’été dernier, IDC voyait les dépenses mondiales progresser de plus de 10 % en 2018 pour atteindre 91,4 Md$. Et d’anticiper le franchissement du seuil des 120 Md$ d’ici à 2021. Gartner, de son côté, estimait que ce cap serait franchi cette année. Plus récemment, IDC a indiqué prévoir un marché à 103,1 Md$ en 2019, et 133,8 Md$ en 2022. Si les chiffres divergent, la tendance est là : la croissance.

Sur le terrain, toutefois, les observations semblent aller à rebours des prévisions. Ainsi, chez Wavestone, Matthieu Garin l’avance : « sur le terrain, on constate une tendance à la baisse des budgets cyber ». Pour lui, l’observation est « peu relayée, mais l’optimisation des coûts cyber est un [sujet chaud] de 2019 ». Et d’estimer que « la cyber s’industrialise ».

Hadi El-Khoury, consultant indépendant en cybersécurité et co-fondateur du chapitre français de l’Issa, ne dit pas autre chose et avance même trois « justifications » qui ont pu lui être présentées. Les deux premières touchent aux questions de gestion des ressources humaines, entre « fort turnover chez les RSSI », qui conduit à la fermeture d’un poste dont les fonctions sont réaffectées au DSI, et stress sur les équipes de sécurité avec la « réaffectation de certains budgets cybersécurité vers les RH pour une meilleure qualité de vie au travail ». Quant à la troisième justification, c’est tout simplement le fatalisme : « qu’on investisse ou pas, tout le monde “se fait trouer”, donc investit moins, voire même plus du tout ».

Dans une logique comparable, Rayna Stamboliyska, auteure du livre La face cachée d’Internet, avance « l’absence générale de démonstration / illustration de ce que [la cybersécurité] rapporte ». Car pour elle, il ne suffit plus de dire « ah là là, mais vous ne vous rendez pas compte de ce qui se passerait si [insérer argument trop technique | superficiel ici] ? » Car la sécurité, comme elle le résume, reste bien souvent « du Capex ».

Antonin Hily, directeur technique chez Sogeti, observe la même tendance sur les budgets. Mais il avance d’autres explications : « optimisation du risque, assurance, et surtout (même si le raisonnement me dépasse), la cloudification : ”je ne crains plus rien, je vais dans le cloud !” ».

Et puis il y a une autre explication avancée par Cédric Mauny, chez Telindus Luxembourg, la dilution : « les besoins en sécurité sont partout, dans toutes les lignes métiers qui font (ou disent faire) de la sécurité. Donc pourquoi un budget central en hausse alors qu’on paie déjà partout pour de la sécurité ? ». Le club des utilisateurs de la sécurité informatique du Luxembourg fait toutefois état de budgets stables ou à la hausse.

Pour autant, une étude Cisco laisse entrevoir des efforts de rationalisation, même si elle ne dit rien sur les évolutions attendues des dépenses en cybersécurité. Selon celle-ci, la tendance est à la rationalisation des portefeuilles de solutions de sécurité, avec une diminution en marche du nombre de fournisseurs distincts. Une autre étude Forrester, publiée en décembre dernier, met également en évidence une tendance à l’automatisation, au moins chez les entreprises dépensant le plus en cybersécurité. De son côté, le CESIN indique que son baromètre fait état d’une « augmentation des budgets pour 59 % des RSSI interrogés (une baisse de -5 points par rapport à l’année précédente) et le taux des entreprises qui envisagent d’augmenter les effectifs diminue (50 % soit -12 pts). »

Et justement, si les observations de terrain divergent des prévisions macroscopiques, c’est peut-être en raison des différentes typologies d’organisations considérées. L’étude Forrester montre d’ailleurs assez bien les différences de priorité selon les profils. Le témoignage d’un DPO (Digital Privacy Officer) de collectivité territoriale vient conforter l’analyse : pour lui, il est là « très difficile de recruter des spécialistes (pas nécessairement experts). D’autant que les moyens sont quasiment inexistants et les salaires bas ». Ce à quoi Fabian Rodes avance une piste : « une solution alliant mutualisation et maillage des efforts de l’intercommunalité jusqu’à la région ».