skip to content

Les budgets alloués à la cybersécurité augmentent, tout comme le coût associé aux violations de données

Article

Les budgets destinés à la sécurité augmentent; le nombre et le coût des violations de données aussi.

Ces affirmations ne vous sont probablement pas étrangères. Le concept est simple, mais les conséquences, elles, sont complexes et problématiques. Les entreprises commencent tout juste à comprendre les enjeux de la cybersécurité, et les investissements dans les technologies et les solutions nécessaires pour lutter contre les pirates informatiques sont de plus en plus importants. Or, beaucoup d’entre elles subissent encore d’importantes interruptions de service et continuent de faire l’objet de violations de données.

En effet, même si les analystes de Gartner prévoient que les budgets internes consacrés à la cybersécurité augmenteront de 11,3 % en 2023 pour atteindre plus de 188,3 milliards de dollars américains, des études d’IBM révèlent des statistiques alarmantes :

  • Le coût moyen d’une violation de données à l’échelle mondiale s’élève à près de 4,35 millions de dollars américains, ce qui représente une hausse de 2,6 % par rapport à 2021 et de 12,7 % par rapport à 2020. 
  • Le coût moyen d’une violation de données au Canada est de 5,64 millions de dollars américains. 
  • Parmi les entreprises sondées, 83 % ont subi plus d’une violation de données.

La première étape pour assurer la résilience de vos activités consiste à renforcer vos défenses et à protéger vos systèmes. Les équipes de cyberdéfense doivent faire preuve de vigilance et être prêtes à intervenir à tout moment en cas d’infiltration, car les pirates informatiques n’ont besoin d’exploiter qu’une seule vulnérabilité pour provoquer un cyberincident. Certaines attaques franchiront vos premières lignes de défense, mais, si votre entreprise dispose d’un programme de cybersécurité solide, elle pourra détecter les incidents et y remédier rapidement avant de subir des dommages importants.

Obstacles à une cyberdéfense efficace

Pourquoi le nombre d’atteintes à la sécurité augmente-t-il malgré la multiplication des investissements dans la cybersécurité? 

Il n’y a pas qu’une seule réponse à cette question. Même si la hausse des investissements de plusieurs milliards de dollars sur 12 mois a eu une incidence positive sur la sécurité de beaucoup d’entreprises, les pirates informatiques adaptent régulièrement leurs stratégies pour éviter la détection. Notre équipe a étudié ce phénomène de plus près en collaboration avec des pairs, des partenaires et des clients du secteur et a cerné quatre enjeux clés.

Chaque année, de plus en plus d’entreprises sont soumises à de nouveaux règlements ou à des règlements mis à jour. Par conséquent, la conformité réglementaire est devenue l’un des principaux facteurs d’investissement dans la sécurité. Elle peut toutefois s’avérer une arme à double tranchant. Nous nous attendons à ce que les contrôles obligatoires améliorent le niveau de sécurité global d’une entreprise. Or, s’agit-il simplement de cocher une case, ou les programmes sont-ils réellement officialisés et gérés efficacement?

Prenons un exemple récent, celui d’une entreprise manufacturière qui envisageait de procéder à la lecture des codes à barres au moyen d’une application personnalisée sur une base annuelle afin de répondre à une exigence de conformité. Bien que le fait d’investir dans le test d’une application constitue un pas dans la bonne direction, les tests doivent être intégrés et automatisés dans les projets de développement et d’exploitation pour répondre aux exigences et ainsi créer une approche beaucoup plus efficace. Cependant, comme pour bien des entreprises, l’équipe de direction n’a approuvé que le budget nécessaire pour satisfaire aux obligations de conformité minimales, partant du principe que le respect de ces obligations garantit la sécurité de l’entreprise. Il s’agit là d’un thème courant. Les entreprises sont soucieuses de respecter les exigences de conformité réglementaires, mais ces exigences doivent représenter la norme de sécurité minimale à l’établissement d’une capacité de cybersécurité.

Les entreprises doivent adopter une approche globale et multicouche et se demander si la norme minimale est acceptable. Comme les tactiques des pirates informatiques sont plus ingénieuses et novatrices et que les exigences de conformité et leurs mises à jour n’évoluent pas au même rythme, les cybercriminels trouvent de nouveaux moyens d’exploiter les systèmes.

Selon les analystes de Gartner, le marché de la cybersécurité représentait 173 milliards de dollars à l’échelle mondiale en 2020, et on s’attend à ce qu’il atteigne près de 270 milliards de dollars d’ici 2026. Des capitaux importants sont investis dans les technologies et les services de cybersécurité, ce qui permet aux clients de choisir leurs solutions de sécurité. Une fois leurs choix effectués, ils doivent déterminer le produit qui convient le mieux à leur entreprise en fonction de son profil de menace et de sa stratégie de cybersécurité. Toutefois, plutôt que de faciliter la tâche aux clients, cette multitude de choix peut rendre la situation encore plus difficile et complexe.

Un client de BDO a récemment été inondé quotidiennement d’appels téléphoniques, de messages LinkedIn, de courriels de marketing et de demandes de réunions provenant de divers fournisseurs de solutions de sécurité. Voici ce qu’il a déclaré : « J’ai une petite équipe de sécurité qui fonctionne à capacité réduite; nous n’avons pas le luxe d’être des experts dans tous les domaines. Nous ne savons tout simplement pas sur quoi nous baser pour comparer les diverses solutions qui s’offrent à nous, alors nous prenons nos décisions en fonction du fournisseur ayant la meilleure approche marketing. »

Ce client a malheureusement été victime d’une importante attaque par déni de service distribué qui a paralysé sa plateforme de commerce électronique et ses capacités de vente interentreprises. Voici ce qu’il nous a répondu lorsque nous lui avons demandé pourquoi il avait choisi ce produit en particulier : « Leur équipe de vente était sympathique et ils ont fait un excellent travail pour établir une relation avec mon équipe et nos dirigeants. Même si leur solution me paraissait très intéressante, nous avons probablement été trop emballés par l’approche marketing, ce qui nous a fait perdre de vue nos objectifs et la mesure dans laquelle la solution proposée correspondait réellement à nos besoins. »

Le marché de la cybersécurité étant en pleine croissance et de plus en plus lucratif, il peut être difficile de s’y retrouver dans le dédale de fournisseurs, d’outils, de solutions et de produits. Choisir la bonne solution pour résoudre les problèmes de sécurité propres à votre entreprise constitue donc un véritable casse-tête.

Alors que les postes vacants et les mises à pied se sont multipliés en 2023 dans le secteur des technologies, la demande de talents en cybersécurité continue d’être supérieure à l’offre disponible. Les entreprises peinent encore à recruter et à retenir des professionnels de la cybersécurité qualifiés et compétents.

Un client de BDO du secteur du commerce de détail décrit les difficultés auxquelles il est confronté relativement à l’embauche de talents en cybersécurité : « Depuis un certain temps déjà, nous cherchons à recruter un chef des services en cybersécurité qualifié, mais en vain. Nous manquons de direction et nous éprouvons des difficultés à faire les bons choix et les bons investissements parce que personne ne se charge de ces tâches. Nous avons les ressources financières, mais ne savons pas comment les utiliser à bon escient. »

À défaut d’une surveillance adéquate et éclairée, les entreprises qui n’affectent pas de ressources à la cybersécurité courent un plus grand risque de voir leurs activités perturbées par un problème de cybersécurité ou par une configuration inadéquate des contrôles de sécurité.

Beaucoup d’entreprises ne savent pas vraiment quelles mesures prendre pour améliorer leur niveau de sécurité. En raison des problèmes de chevauchement et des priorités contradictoires établies selon divers cadres sectoriels, règles de conformité, mises à jour des tendances et campagnes marketing, elles ont parfois l’impression que le parcours de la cybersécurité s’apparente au jeu de la taupe. En effet, certaines d’entre elles essaient de répartir leur budget à toutes les capacités sans savoir comment les dépenses interagissent entre elles ou si elles leur permettent d’atténuer les risques en fonction du profil de menace qui leur est propre.

Les entreprises se concentrent souvent sur la détection des menaces plutôt que sur leur prévention lorsqu’elles préparent leur budget. Les équipes de sécurité surchargées sont ainsi constamment en mode réaction et l’exposition actuelle aux risques liés à la sécurité n’est pas clairement définie.

Un fournisseur de services logiciels a fait part de son expérience concernant l’affectation du budget à sa stratégie de cybersécurité. L’entreprise avait acheté un important logiciel anti-programmes malveillants sous la forme d’un abonnement au coût de 1,2 million de dollars canadiens par année. Quelques mois plus tard, son application Web phare a été la cible d’une attaque par logiciel visant sa chaîne d’approvisionnement.

Elle explique : « Comme nous avons consacré la majeure partie de notre budget au logiciel anti-programmes malveillants, nous avons décidé de reporter notre projet de test de code à l’exercice suivant et de n’effectuer qu’un seul test d’intrusion cette année afin d’économiser des coûts. J’ai eu du mal à expliquer au chef de la direction pourquoi le logiciel anti-programmes malveillants ne pouvait rien contre ce type d’attaques. Il m’a dit qu’il avait l’impression qu’avec cette solution, tous nos problèmes de cybersécurité étaient résolus. »

La négligence des tests de sécurité et du repérage des vulnérabilités est alarmante. Si détecter les cyberattaques est une bonne chose en soi, éviter les vulnérabilités qui les permettent l’est encore davantage. Les tests de logiciels de sécurité des applications, les tests de pénétration, l’approche de l’équipe rouge et la gestion des vulnérabilités sont tous des programmes importants qui sont rarement utilisés à leur plein potentiel. Même si les budgets augmentent, il demeure essentiel de dépenser de manière responsable. Il est impératif de mettre en œuvre un plan financier solide permettant de renforcer vos défenses au moyen de votre programme de cybersécurité en cas d’exposition potentielle.

Stratégies pour améliorer votre niveau de cybersécurité

Il n’existe pas de solution miracle en matière de cybersécurité. Il convient donc d’adopter une approche globale et pragmatique. 

Les entreprises doivent mieux comprendre leur exposition aux menaces ou aux cyberrisques ainsi que leurs capacités en matière de personnel, de processus et de technologies afin de cerner les lacunes et les gains d’efficience possibles.

Même si cela est souvent plus facile à dire qu’à faire, votre entreprise peut prendre plusieurs mesures pour trouver le juste équilibre.

La modélisation des menaces est le processus qui permet de comprendre, d’établir les priorités et de gérer les risques. En tant qu’êtres humains, nous procédons chaque jour à une certaine forme de modélisation des menaces lorsque nous quittons notre domicile, conduisons notre voiture ou promenons notre chien. Nous évaluons les menaces et mettons en place des contrôles pour atténuer les risques, par exemple en verrouillant nos portes pour réduire les risques de vol par effraction, en conduisant plus lentement pour réduire les risques d’accident et en nous habillant adéquatement en fonction des conditions météorologiques pour réduire les risques de tomber malade.

Comme les êtres humains, chaque entreprise est unique. Votre entreprise a des objectifs, des exigences, des processus et des technologies qui lui sont propres. En évaluant votre profil de risque uniquement à partir d’un cadre générique, vous n’aurez pas d’idée précise de votre niveau de cybersécurité réel.

L’équipe de BDO se penchera sur l’exposition et les vecteurs d’attaque potentiels de votre entreprise afin de développer les ensembles de contrôles personnalisés et les stratégies nécessaires pour réduire les risques et atténuer les menaces de manière adéquate. Cette stratégie personnalisée vous permettra de mettre en place des mesures de sécurité pratiques et rentables répondant aux besoins précis de votre entreprise en matière de sécurité.

Vous avez acquis des outils de sécurité, mis en place des processus et conçu une application que vos développeurs jugent sûre. Que pouvez-vous faire par la suite pour vous assurer que vos investissements en sécurité produisent les résultats escomptés?

Les tests de sécurité vous permettent de cerner les points forts et les lacunes potentielles que les pirates informatiques chercheront à exploiter. En mettant en œuvre une approche de l’équipe rouge avec le groupe Sécurité offensive de BDO, vous pourrez évaluer votre posture de cybersécurité, c’est-à-dire la somme de tous vos contrôles. Dans le cadre de scénarios réalistes, vous pourrez clarifier certaines questions, par exemple :

  • Quels contrôles sont efficaces lorsque votre entreprise est la cible d’un pirate informatique?
  • Quel est le processus de notification en cas de brèche de sécurité? Quelles sont les alertes générées, qui en est informé et comment sont-elles traitées?
  • Existe-t-il des contrôles permettant de déjouer les tentatives de modification ou d’exfiltration de données critiques?
  • Parmi vos systèmes, lesquels ont fait l’objet de correctifs efficaces et lesquels n’ont pas la capacité de se défendre?

Il est essentiel de tester les applications et les réseaux personnalisés. Il s’agit de systèmes uniques adaptés à votre environnement, ce qui signifie qu’il n’existe aucune stratégie préétablie comportant les correctifs de sécurité et les contrôles nécessaires pour protéger votre configuration. Le programme Développement, sécurité et activités de BDO propose une série de tests personnalisés qui sont intégrés et automatisés à même vos projets de développement, vous permettant ainsi de dégager certains avantages clés, notamment :

  • la possibilité pour vos équipes de développement de fournir des logiciels sécurisés au rythme de l’entreprise et de les déployer en toute confiance grâce à l’automatisation des tests;
  • l’amélioration de la collaboration et de la communication entre les équipes responsables du développement, des activités et de la sécurité;
  • l’intégration de la sécurité aux logiciels dès le début pour permettre de cerner et de régler les problèmes de sécurité plus tôt dans le cycle de développement des logiciels.

La taille et les capacités des outils de sécurité et des ensembles de contrôles sont infinies. Il fut un temps où les entreprises effectuaient leurs achats en appliquant l’approche du « meilleur produit »; aujourd’hui, elles optent plutôt pour l’approche du meilleur choix en fonction des besoins. Pour assurer la productivité et atténuer la crise des talents en cybersécurité, votre ensemble de contrôles technologiques doit être convivial et permettre à vos cyberopérateurs de consacrer davantage de temps à la prise de décisions importantes qu’à des tâches insignifiantes. Par conséquent, la solution la mieux adaptée à votre entreprise est probablement celle qui est unifiée et efficace.

À quoi cela ressemble-t-il concrètement? Prenons la mise en situation suivante, où une entreprise souhaite mettre en œuvre les solutions suivantes selon l’approche du meilleur produit :

  • Une solution anti-programmes malveillants d’un seul fournisseur, qui comprend ses propres console de commandes, console de journalisation, serveur de gestion et agents logiciels;
  • Une solution en matière de prévention des pertes de données d’un deuxième fournisseur qui utilise toutes les mêmes composantes nécessaires à son bon fonctionnement;
  • Une solution de journalisation et de surveillance de la gestion des informations et des événements liés à la sécurité récemment mise en œuvre par un troisième fournisseur dans le but d’unifier toutes ces données en un guichet unique.
Même si toutes ces solutions sont intéressantes, elles pourraient ne pas être compatibles, ce qui entraînerait des frais généraux d’exploitation et des coûts de licence supplémentaires qui deviendraient difficiles à gérer dans un contexte où votre équipe est déjà très sollicitée.

Comment une solution déterminée selon l’approche la mieux adaptée peut-elle répondre aux besoins de votre entreprise?

Une solution unifiée et consolidée combinant des systèmes indépendants en une seule offre ainsi qu’une capacité modulaire de cybercontrôle permettront de réduire les frais généraux. Même si les solutions déterminées selon l’approche du meilleur produit ont une valeur intrinsèque, elles ne disposent pas toujours des capacités nécessaires pour s’intégrer positivement à d’autres cybercontrôles. 

BDO propose des solutions de sécurité qui réunissent plusieurs capacités de cybersécurité, ce qui permet de réduire la gestion inutile de solutions ponctuelles multiples, la formation du personnel et des ressources ainsi que les coûts et les investissements dans des stratégies de cybersécurité incomplètes.

Pourquoi investir dans la cybersécurité?

Le coût des violations de données augmente plus rapidement que les investissements effectués par les entreprises pour améliorer leur sécurité. D’après cette tendance, si les entreprises maintiennent leur stratégie actuelle, qui consiste à investir et à prendre des décisions en fonction de la toute dernière solution technologique ou des exigences de conformité réglementaires, elles accuseront toujours un retard. 

Les pirates informatiques sont de plus en plus sophistiqués et les États-nations adversaires, tout comme les syndicats du crime organisé, y voient un intérêt à former des groupes de pirates informatiques. De plus, la pénurie constante de talents en cybersécurité laisse présager qu’il faudra encore un certain temps avant que nous soyons en mesure d’anticiper les atteintes à la sécurité. D’ici là, les entreprises doivent impérativement se doter d’une base solide de capacités et de stratégies en matière de cybersécurité leur permettant d’atténuer les menaces et de réduire les risques, tout en demeurant concurrentielles.

BDO peut vous aider

Chez BDO, nous possédons de vastes connaissances et une expérience approfondie de l’élaboration, de la mise en œuvre et de la gestion de capacités de sécurité personnalisées dans tous les secteurs d’activité. Notre approche globale et adaptée à la résolution de vos défis particuliers et uniques en matière de sécurité peut vous aider à renforcer vos mesures de sécurité sans compromettre l’efficacité ou l’avantage concurrentiel de votre entreprise.



Sources :

Gartner Identifies Three Factors Influencing Growth in Security Spending, Gartner, 13 octobre 2022 : https://www.gartner.com/en/newsroom/press-releases/2022-10-13-gartner-identifies-three-factors-influencing-growth-i

Cost of a Data Breach Report 2022, IMB :  https://www.ibm.com/security/data-breach

Prévisions : Information Security and Risk Management, Worldwide, 2020-2026, 3Q22 Update, Gartner : https://www.gartner.com/en/documents/4016190

Obtenez les dernières nouvelles en matière de cybersécurité

Aucune entreprise ne peut se permettre d’être mal informée ou mal préparée lorsqu’il est question de menaces numériques. Obtenez les dernières nouvelles, informations et pratiques exemplaires en matière de cybersécurité directement dans votre boîte de réception.

S’abonner dès maintenant

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.

Accepter et fermer