90% des RSSI connaîtront une hausse de leur budget en 2025, selon une étude du cabinet Forrester. Dans le détail, 10% des responsables cyber s'attendent à une progression de plus de 10% par rapport à l'enveloppe qui leur a été allouée en 2024, tandis que 34% prévoient une hausse comprise entre 5 et 10%. Une large part des RSSI (46%) anticipe toutefois un budget 2025 dans la lignée de 2024, avec une progression de 1 à 4%. Parmi les 10% RSSI sevrés de rallonge budgétaire, sept sur dix s'attendent à une stabilité des sommes consacrées à la cybersécurité.
Selon Forrester, la prolifération des technologies est une des principaux facteurs pesant sur les budgets cyber. Selon une étude récente du cabinet ISG, les RSSI voient en moyenne un peu plus d'un tiers de leur budget partir dans le logiciel, soit le double des coûts en matériel et 7 points de plus que qu'ils dépensent en personnel. « Pour lutter contre le véritable problème auquel sont déjà confrontés les responsables de la sécurité - la prolifération des technologies -, nous recommandons d'adopter une approche prudente lors de l'introduction de nouveaux outils et fournisseurs, en suivant ce principe pragmatique : n'ajoutez rien de nouveau sans vous débarrasser au préalable de quelque chose d'autre », écrit Forrester dans son rapport.
Investissements prévus dans la sécurité du cloud
81 % des 275 décideurs interrogés par le cabinet d'études prévoient une augmentation de leurs dépenses en matière de sécurité dans le cloud en 2025. Pour 37%, cette progression sera comprise entre 5 et 10 %, tandis que 30% supplémentaires s'attendent à une augmentation de plus de 10 %. Cette priorité devance les investissements dans de nouvelles technologies de cybersécurité on-premise, la mise à jour d'outils existants et les initiatives de formation et de sensibilisation à la cybersécurité.
Forrester recommande aux RSSI de muscler la sécurité de leur supply chain logicielle, de leurs API et de travailler sur la détection des menaces ciblant l'IoT et l'OT. En l'espace d'un an, 91 % des entreprises ont été victimes d'incidents liés à leur chaîne d'approvisionnement en logiciels, ce qui souligne la nécessité de renforcer les mesures de protection des pipelines d'intégration et de déploiement continus (CI/CD). Les bibliothèques Open Source (comme l'a rappelé la faille Log4j), les outils de développement tiers et les API créées parfois il y a plusieurs années constituent autant de points de vulnérabilités potentiels au sein de la plupart des entreprises.
Les budgets cybersécurité encore en hausse en 2025
D'après Forrester, 9 RSSI sur 10 verront leur budget progresser l'an prochain. Mais pour la moitié d'entre eux, la hausse sera inférieure à 4%.