- Les grandes lignes du sondage
- Recommandations
- Une sécurité informatique forte aide à gagner et à conserver la confiance des clients
- Une sécurité informatique forte est nécessaire pour la conformité
- Une sécurité informatique forte peut être requise par les compagnies d’assurance
- Une sécurité informatique forte donne l’exemple aux employés
- Une sécurité informatique forte est éthique
- À venir
Les grandes lignes du sondage
Soixante-huit pour cent des PME allouent 6 à 15 % de leur budget informatique global à la sécurité informatique. Ce résultat est largement supérieur à celui du sondage 2021/2022 dans lequel seulement 32 % des PME consacraient 6 à 15 % de leur budget informatique global à la sécurité informatique. Cette augmentation significative sur une année laisse entendre que de plus en plus de PME reconnaissent l’importance d’un profil de sécurité informatique robuste.
Tout n’est pas rose pour autant : 32 % des PME allouent moins de 6 % de leur budget informatique global à la sécurité, ce qui constitue une hausse de 6 % par rapport au sondage 2021/2022. Selon nous, le coupable de cette réduction sur une année est la pandémie, laquelle a contraint plusieurs PME a un régime drastique des dépenses.
Environ la moitié des PME (49 %) investissent davantage dans la sécurité des TI que l’année dernière. L'augmentation du coût de la main-d'œuvre en est probablement la cause, puisque 36 % des PME ont ajouté un ou plusieurs employés pour répondre à leurs besoins en matière de sécurité informatique.
Quarante-six pour cent des PME prévoient d'augmenter leurs dépenses de sécurité informatique au cours des 12 prochains mois, 48 % prévoient de les maintenir à peu près au même niveau et 6 % envisagent de les réduire. Voici cinq projets les plus fréquents prévus pour l'année à venir : implémenter une solution PAM, introduire ou intégrer complètement l’A2F, développer un outil de gestion des mots de passe pour tous les employés (et pas seulement pour le personnel informatique), implémenter la rotation automatique des mots de passe et mettre à jour les stratégies VPN. Il est fort intéressant de constater que ces projets de sécurité informatique sont liés à la gestion des identités et des accès!
Recommandations
Bon nombre de professionnels de l'informatique dans les PME savent que leur entreprise doit investir davantage (et peut-être plus judicieusement) dans la sécurité informatique. Il y a cependant un obstacle commun : l’investissement dans la sécurité informatique est considéré par certains dirigeants non spécialisés comme une option intéressante et non comme une nécessité.
Nous recommandons aux professionnels de l'informatique d’aborder ces cinq facteurs lors de tout exposé, proposition ou présentation pour obtenir le budget et les ressources nécessaires à renforcer le profil de sécurité informatique de leur entreprise :
Une sécurité informatique forte aide à gagner et à conserver la confiance des clients
Attribuer davantage de ressources à la sécurité informatique n'est pas seulement une préoccupation technique. Il s’agit également d’une préoccupation d'entreprise, car elle est cruciale pour gagner et conserver la confiance des clients. C’est d’autant plus vrai lorsqu'on réalise que :
- 81 % des clients considèrent la confiance comme un facteur majeur lorsque vient le moment d’acheter;
- 88 % des clients affirment que la confiance est plus importante en période de changement;
- 70 % des clients veulent avoir la certitude que la protection des données est considérée comme une priorité absolue par les entreprises avec lesquelles ils font affaire.
Les entreprises qui sont perçues comme indignes de confiance en raison d'une sécurité informatique insuffisante sont obligées de dépenser énormément d’argent pour se relever. Bien entendu, ces dépenses sont bien supérieures à ce qu'il en aurait coûté de renforcer la sécurité informatique dès le départ!
Une sécurité informatique forte est nécessaire pour la conformité
Certains clients refuseront de faire affaire avec une entreprise dont l'infrastructure, la gouvernance et les contrôles de sécurité informatique n'ont pas été évalués et vérifiés par un tiers (par exemple, SOC 2, ISO 27001:2013, PCI DSS, HIPAA, etc.). C’est bien connu, renoncer à des revenus et à des profits trouble le sommeil des décideurs d’entreprise. C’est pourquoi la sécurité informatique doit être présentée avec des exemples concrets afin qu’elle soit perçue comme un investissement profitable plutôt que comme une dépense inévitable.
Une sécurité informatique forte peut être requise par les compagnies d’assurance
Cette tendance a pris de l’ampleur au cours des dernières années : les entreprises ayant souscrit à une assurance de cybersécurité découvrent, au moment du renouvellement de leur police, que leur assureur exige des contrôles de sécurité informatique plus rigoureux. La gestion des accès privilégiés (PAM), qui prend en charge des fonctions telles que l’injection des identifiants, la rotation des mots de passe, le contrôle d'accès basé sur les rôles et l'enregistrement des sessions, est particulièrement visée.
Une sécurité informatique forte donne l’exemple aux employés
Les utilisateurs finaux sont et seront toujours le maillon faible de la chaîne de sécurité informatique. Quelques exemples : l’hameçonnage, le partage des mots de passe sans prendre de précaution et la perte d’ordinateurs portables. L’investissement responsable et approprié dans la sécurité informatique fait passer un message sans équivoque aux employés : « Nous ne lésinons pas sur la sécurité informatique et nous attendons la même chose de vous ».
Une sécurité informatique forte est éthique
Encourager la sécurité informatique n’est pas seulement intelligent, mais éthique. En effet, elle témoigne d’un engagement social et d’un bon comportement d’entreprise citoyenne. En d’autres termes, lorsque les entreprises gagnent la bataille de la sécurité informatique, les pirates informatiques, les utilisateurs à l’interne malveillants et les autres acteurs dangereux perdent la partie!
À venir
Si vous n'avez pas encore eu l'occasion de télécharger le Rapport sur l'état de la sécurité informatique dans les PME en 2022/23, veuillez cliquer ici (PDF). Le téléchargement est instantané et aucune inscription n'est requise.
Nous vous invitons également à consulter les autres articles portant sur le sondage :
- [LE SONDAGE EN DÉTAILS] Les cybermenaces qui touchent les PME + quelques recommandations
- Les cybermenaces qui touchent les PME + Meilleures pratiques basées sur 5 principes et politiques
- La gestion des accès privilégiés dans les PME + Recommandations
- Le sondage en détail : la conscientisation à la sécurité informatique dans les PME+ quelques recommandations
- Aperçu du sondage : La gestion des accès à distance dans les PME + Recommandations