Les budgets sécurité explosent dans les entreprises
La cybersécurité pèse désormais plus d'un cinquième des budgets IT en moyenne. Mais les entreprises les plus petites décrochent.
Au cours des 5 dernières années, le budget dédié à la cybersécurité a plus que triplé. C'est une des conclusions les plus frappantes de l'étude annuelle menée par l'assureur Hiscox. Selon celle-ci, le budget médian de la cybersécurité est passé de 1,4 million de dollars en 2018 à 5,3 millions l'an dernier. Soit un bond de 280% ! En France, la cyber représente en moyenne 22% du budget IT, en progression de deux points par rapport à 2021.
Hiscox note toutefois que les budgets ne progressent pas de façon linéaire en fonction de la taille des organisations. Ainsi, dans les entreprises réalisant plus de 20 M$ de chiffre d'affaires, le budget cyber a en moyenne quintuplé en trois ans. A l'inverse, dans les petites organisations (entre 10 et 49 employés), les dépenses consacrées au sujet ont presque été divisées par deux sur la même période, probablement en raison de la pandémie, « les entreprises ayant moins de moyens à consacrer à l'informatique », écrit l'assureur britannique dans son rapport.
Le cloud, porte d'entrée préférée des pirates
Sans surprise, la part des entreprises reconnaissant avoir subi une cyberattaque progresse : au niveau mondial, elles sont 48% dans ce cas (et même 52% dans l'Hexagone), contre 43% en 2021 et 39% en 2020. Dans sept des huit pays où Hiscox a mené son enquête, les décideurs voient les cyberattaques comme le risque n°1 pesant sur leur activité. Le coût médian d'une cyberattaque est passé à 17 000 dollars en 2022, en hausse de 29% sur un an. Pour l'assureur, cette montée du risque et des conséquences est notamment lié à l'accélération de la mutation vers le cloud qu'entraîne la crise du Covid : en 2022, les serveurs sur le cloud sont devenus la porte d'entrée préférée des cyberassaillants, devant la messagerie professionnelle.
Selon Hiscox, les principales conséquences des cyberattaques dépassent les seules dépenses de remise sur pied des systèmes. Ainsi, 30% des décideurs citent les efforts et coûts de notification des clients concernés parmi les principales conséquences vécues après une attaque. Un item qui s'installe à la première place des impacts, après un bond de 7 points en un an, et devance les atteintes à la réputation de l'entreprise (citées par 27% des personnes interrogées). L'impact grandissant des conséquences issues de la régulation se confirme dans la part des entreprises qui expliquent avoir dû faire face à une amende substantielle après une cyberattaque : elles sont 20% dans ce cas, soit un bond de 9 points par rapport à 2021. Notons encore que 21% des décideurs expliquent que la solvabilité de leur entreprise a été menacée par une cyberattaque, en progression de 4 points sur un an. Cette part atteint même 24% en France.
Près des deux-tiers des entreprises possèdent désormais une cyberassurance, soit via une police dédiée soit dans le cadre d'un contrat plus global couvrant certains risques cyber. Cette proportion a progressé de 6 points en un an. En France, la pratique est un peu moins répandue : 61% des organisations hexagonales possèdent une cyberassurance (+4 points par rapport à 2021).
(Crédit photo : Hiscox)
A propos de l'étude
L'étude d'Hiscox, réalisée par Forrester, est basée sur les réponses de près de 5 200 professionnels ayant connaissance de la stratégie de leur organisation en matière de cybersécurité. L'étude couvre le Royaume-Uni, les États-Unis, la France, l'Allemagne, la Belgique, l'Espagne, l'Irlande et les Pays-Bas. Dans l'Hexagone, 900 répondants ont participé à l'enquête.