Les budgets de cybersécurité en entreprise stagnent alors que les menaces informatiques s’intensifient. Une étude révèle que seuls 29% des RSSI disposent de ressources suffisantes, tandis que les conseils d’administration peinent à justifier ces investissements. Ce déséquilibre budgétaire impacte les initiatives de sécurité et expose les organisations à des cyberattaques croissantes.
En France, une étude du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a montré une certaine stabilité du budget destiné à la sécurité informatique par rapport à l’année 2023. 48 % des Responsables de la Sécurité des Systèmes d’Information (RSSI) indiquent que leur organisation consacre au moins 5 % du budget IT à ce volet. Néanmoins, cette proportion budgétaire semble insuffisante face à l’intensification des menaces et aux exigences réglementaires croissantes.
Une autre étude menée par Splunk révèle que seuls 29% des RSSI estiment disposer de ressources financières suffisantes pour mener à bien leurs missions. Cette insuffisance de moyens inquiète 64% d’entre eux, craignant de ne pas pouvoir assurer un niveau de protection adéquat face à l’évolution des menaces technologiques et aux obligations réglementaires.
Justifier les investissements en cybersécurité : un défi pour les RSSI
Les RSSI font face à un défi majeur qui est de justifier les investissements en cybersécurité auprès des conseils d’administration. Comme l’explique un dirigeant d’un groupe bancaire multinational basé au Royaume-Uni, cité dans une étude réalisée par Oxford Economics pour Splunk :
Quand on se présente au conseil d’administration pour expliquer que nous sommes exposés à une cybermenace potentielle, l’investissement est difficile à justifier. Je suis régulièrement confronté au même problème : il y a la certitude d’un investissement d’un côté, et de l’autre, la probabilité d’une menace qui pourrait ne pas se concrétiser.
Cette difficulté à obtenir des financements adéquats pour contrer les menaces se traduit par des décisions budgétaires qui peuvent compromettre la sécurité d’une organisation. Dans ce cadre, un regard comparatif sur les priorités budgétaires permettrait d’analyser les arbitrages entre investissements en sécurité informatique et ceux consacrés à d’autres domaines stratégiques.
Ce déséquilibre budgétaire conduit pourtant aux situations suivantes :
- 18% des RSSI renoncent à appuyer certaines initiatives métiers en raison d’un manque de ressources sécuritaires ;
- 64% des cas où il y a une insuffisance d’investissements conduit directement à des cyberattaques.
Comment les RSSI et conseils d’administration perçoivent la cybersécurité
L’analyse des priorités des RSSI révèle une divergence notable entre leur perception et celle des administrateurs. Alors que 52 % des membres de conseils d’administration estiment que les RSSI ajustent la cybersécurité en fonction des objectifs métiers, 58 % des RSSI déclarent se concentrer avant tout sur des opérations techniques.
Toutefois, ce paradoxe budgétaire ne s’explique pas par un manque de communication avec la direction générale. L’évolution des échanges entre les RSSI et les conseils d’administration illustre cette tendance : 82 % des RSSI ont déclaré en 2024 interagir régulièrement avec leur conseil, contre seulement 47 % en 2023.
Par contre, une chose est sûre, la perception des besoins en sécurité informatique varie en fonction des interlocuteurs. Un examen comparatif des points de vue met en évidence que :
- 41% des administrateurs estiment que les budgets alloués sont suffisants
- 53% des RSSI pensent le contraire
Dans le but de compenser le manque de ressources, quelques alternatives ont été mises en place :
- Un gel de recrutement touchant 40% des entreprises ;
- 36% des RSSI contraints de limiter ou d’annuler les formations en cybersécurité en interne.
En parallèle, 50% des RSSI ont restreint le nombre de solutions de cybersécurité exploitées et 52% ont repoussé des mises à jour technologiques essentielles.