Comme la transformation digitale, la cybersécurité n'est pas perçue de la même façon selon les métiers dans l'entreprise. Mais, à la différence de la première, la deuxième est trop souvent vue comme un coût net, sans valeur pour le business, même si c'est un coût nécessaire. Il en résulte que la sécurité peut être sacrifiée plus facilement sur l'autel budgétaire. Ces différences d'appréciations sont mises en avant dans une étude réalisée pour Devoteam.
Même pour la transformation digitale, les différences de priorités sont nettes : une meilleure implication des métiers pour 58,28% des décideurs Business, l'intégration des systèmes pour 61,97% des décideurs IT et la sécurité de l'information pour 65,28 % des décideurs sécurité. Côté sécurité, le cumul de toutes les réponses place les contraintes budgétaires en tête des difficultés pour l'amélioration de la sécurité dans les organisations, devant le manque de compétences (40,93%) et le manque d'intégration des solutions de sécurité (39,93%). Mais cette moyenne cache une disparité nette.
Le budget n'est pas la seule contrainte
Ainsi, les décideurs business voient les contraintes budgétaires en tête (52,98%), devant le manque de compétences (43,71%) et la difficulté à arbitrer entre la sécurité et les priorités business (41,72%). Pour les décideurs sécurité, les contraintes budgétaires restent en tête (50,93%) mais devant la fragmentation et le manque d'intégration des solutions de sécurité (43,2%) et le manque de compétences (39,81%). Enfin, les décideurs IT, eux, considèrent le manque d'intégration des solutions de sécurité et le manque de compétences (40,17%, ex-aequo) comme les principaux freins, loin devant les contraintes budgétaires (39,74%).
Pour définir les priorités en matières de sécurité, 92,2% des organisations prennent en compte une analyse de risques et 81,4% considèrent leur politique de cybersécurité totalement alignée sur la gestion des risques. Et afin de s'assurer qu'un système est bien sécurisé et que la sécurisation ne freine pas la mise en production, l'approche « security by design » est une évidence. En théorie. Ainsi, cette approche n'est généralisée que dans 13% des organisations, même si 49,78% l'adoptent de manière ponctuelle. Et seulement 26% des organisations prennent en compte la cybersécurité dès la planification de toute nouvelle initiative métier. Il y a donc encore bien du chemin à parcourir pour garantir que la cybersécurité est bien une priorité partagée.
Commentaire