Les entreprises tentent depuis des années de faire face à la fragilité de leurs systèmes hérités pour contrer les cybermenaces, car l’objectif est bien de garantir le fonctionnement du SI quel que soit l’origine de la menace, bref d’assurer cette fameuse résilience, ce mot devenu très tendance depuis ces derniers mois. Selon Richard Ramos, General Manager France chez Insight qui se base sur une étude menée par l’intégrateur en partenariat avec IDC, 52 % des sondés estiment que la résilience opérationnelle fait partie des plus grands défis que les entreprises auront à surmonter en 2024, aux côtés de la cybersécurité (56 %). Cette dernière étant totalement liée à la résilience, un point d’ailleurs confirmé par les experts du Cesin qui stipulent, dans leur baromètre annuel de la cybersécurité publié en janvier 2023, que la résilience des SI face aux cyberattaques reste un maillon important à améliorer dans la stratégie de défense. Cela dit, il ne faut pas limiter la résilience IT au seul sujet de la cybersécurité, il est important d’intégrer les autres risques comme la sécurité physique, la sécurité juridique, la sécurité fournisseurs et toutes les crises géopolitiques, pandémiques et climatiques qui peuvent avoir des conséquences irréversibles.
Un niveau de maturité assez faible des entreprises françaises…
La résilience est donc indispensable pour garantir le fonctionnement du SI. C’est d’autant plus important lorsque l’on observe le coût engendré par une interruption de services à en croire l'éditeur de solutions d'observabilité Splunk. En effet, l’éditeur s'est essayé à la mesurer dans une étude dédiée sur onze pays, dont la France. L'éditeur parvient au chiffre global de 10 jours d'arrêt imprévus par an, pour un coût moyen grimpant à 87 millions de dollars par an. Dans le détail, ce coût moyen des interruptions s'élève à 110 millions de dollars par an dans les entreprises qui démarrent tout juste leur stratégie de résilience, pour les plus avancées ce montant n'est plus que de 62 millions, ce qui représente une économie moyenne de 48 millions de dollars par an. Ce résultat, certes théorique, montre néanmoins l’efficacité d’une stratégie de résilience. Mais pour nos interlocuteurs interrogés, la garantie d’une bonne résilience n’est pas simple à mettre en œuvre pour plusieurs raisons. Déjà la dette technologique héritée constitue un frein majeur à leur stratégie. A cela, il faut ajouter aujourd’hui, l’évolution de leur SI dans un environnement hybride et là se pose la question vitale de disposer d'une protection à haute disponibilité et surtout d'une reprise après sinistre concernant le stockage des données dans le Cloud. Il est fort à parier qu’une majorité d’entreprises ne possède pas de dispositifs efficaces de reprise après sinistre (PRA) ou plus global de plan de continuité d’activité (PCA). Résultat : selon l’étude Cisco Cybersecurity Readiness Index publiée en mars dernier, seules 7 % des organisations en France ont un niveau de préparation mature de résilience, nécessaire face aux risques de cybersécurité. En soi, pour Nicolas Groh, Field CTO EMEA chez Rubrik, ce n’est pas forcément un problème d’éducation à faire sur ce sujet mais, c’est surtout lié aux moyens « Les petites structures, je pense notamment aux collectivités, aux petits hôpitaux, sont potentiellement moins bien préparés par manque de moyens. »
… Mais plus de budgets alloués, un marqueur pour la résilience
Un marqueur important indique la nécessité d’être toujours plus résilient, c’est celui du budget IT, notamment celui dédié à la cybersécurité qui a tendance à augmenter à en croire, là aussi, la multitude d’études réalisées sur ce sujet. Par exemple, pour le Cesin, les budgets alloués à la cybersécurité augmentent encore légèrement cette année et dépassent majoritairement 5% du budget IT global. On y apprend même que 63% des entreprises sondées prévoient une augmentation des dépenses pour les dispositifs de protection, et 54% se concrétisent par des effectifs supplémentaires. Un budget en hausse que confirme aussi la fédération Numeum dans son enquête annuelle réalisée avec PAC auprès de 100 DSI : 51 % des DSI ont ainsi déclaré un budget IT en hausse pour 2023, contre 48% en 2022.
Commentaire