Sécurité : un marché sensiblement porté par les services managés

Le marché de la cybersécurité se porte bien et cela devrait durer. Mais il est sans doute préférable d’y être prestataire de services qu’éditeur ou encore équipementier.

Selon IDC, les dépenses mondiales en produits et services de sécurité devraient atteindre les 106,6 Md $ cette année, en progression de 10,7 % par rapport à 2018. La croissance devrait se poursuivre au moins d’ici à 2023, à un rythme annuel moyen de 9,4 %.

Le secteur des services devrait représenter la plus grosse part du marché, à 47 Md $ cette année. En seconde position, on attend le logiciel à 38 Md $, notamment pour la sécurité des hôtes du système d’information, la gestion des identités, l’analytique, la gestion du renseignement sur les menaces, ou encore l’orchestration et la réponse à incident. Viennent ensuite les équipements, à 21 Md $, avec principalement les systèmes de sécurité réseau.

Mais c’est bien le secteur des services qui se porte le mieux : sur cinq ans, il devrait enregistrer une croissance annuelle moyenne de 11,2 %. Et encore, c’est là le segment des services managés qui s’apprête à tirer un secteur : il pèse pour près de 21 % des dépenses en services de sécurité cette année, et devrait progresser de 13,9 % en moyenne sur les cinq prochaines années.

Les prévisions d’IDC pour les services managés de sécurité ne constituent pas vraiment une surprise. En janvier dernier, lors de l’annonce de son offre en la matière, le directeur cybersécurité de CEIS, Vincent Riou, soulignait que nombre de PME et ETI « sont perdues en cybersécurité. Elles ont généralement une DSI, compétente, efficace, mais concentrée sur la production et les métiers ». Et pour recruter un RSSI, à la question de la disponibilité des compétences s’ajoute celle du coût.

Microsoft lui-même s’est lancé, plus tôt cette année, sur ce marché, et plusieurs éditeurs spécialistes de la protection du poste de travail ont pris la même direction. Il en va ainsi de Symantec, mais aussi de Sophos, qui vient tout juste de lancer son offre de services de réponse à incident.

En 2015, F-Secure avait racheté un spécialiste du test d’intrusion, nSense, avant d’annoncer le lancement d’un service de détection rapide. Depuis, F-Secure a continué de dérouler agressivement sa stratégie dans le domaine des services, d’abord avec le rachat d’Inverse Path début 2017, puis celui de Digital Assurance, et enfin l’acquisition de MWR Infosecurity en juin dernier.

L’an dernier, Trend Micro s’est à son tour lancé sur le terrain des services de sécurité managés. Plus récemment, c’est l’américain AT&T qui s’est engagé sur cette voie en profitant du rachat d’AlienVault.

Autant d’initiatives qui tendent à souligner le besoin d’offres combinant produit et services managés pour répondre à des besoins auxquels les fournisseurs classiques des PME, voire TPE, ont probablement du mal à satisfaire. Ces démarches aident aussi à répondre à la question de l’occupation d’équipes spécialisées qui ne sont rentables que lorsque l’on parvient à maximiser leur niveau d’engagement.