L'or noir du secteur de la sécurité


Dans le cadre de l'étude "Managing Security in the Digital Era" ("La sécurité à l'ère du numérique"), PAC a interrogé 200 grands professionnels de l'informatique et de la sécurité de différents secteurs en Europe sur leurs expériences, leurs objectifs et les défis qu'ils rencontrent dans leur collaboration avec les MSSP.
La lenteur de la mise en œuvre des directives européennes
Entre autres, l'étude révèle un manque inquiétant de sensibilisation aux implications du Règlement général sur la protection des données (RGPD) de l'UE en matière de protection des données.
Le GDPR jette les bases d'une approche uniforme de la sécurité des données dans toute l'Europe. Les entreprises européennes ont jusqu'à mai 2018 pour adapter leur infrastructure informatique aux dispositions du GDPR.
A moins d'un an de l'échéance, 69% des participants à l'étude citent les économies de coûts et plus de la moitié (55%) l'automatisation des opérations de sécurité comme objectifs principaux pour l'engagement d'un fournisseur de services de sécurité gérés.
En revanche, les exigences de conformité imposées par le GDPR n'ont été déterminantes que pour 20 % des personnes interrogées.
Paul Fisher, analyste de recherche et responsable de la cybersécurité chez PAC, résume la situation comme suit :
"Le fait que l'aspect de la conformité, en particulier en ce qui concerne le règlement GDPR, joue un rôle aussi secondaire parmi les participants à l'étude est préoccupant.
À mon avis, ce n'est toutefois pas parce que les entreprises pratiquent la politique de l'autruche, mais parce qu'elles ne sont pas encore pleinement conscientes des implications concrètes et de la complexité du nouveau règlement.
Dans ce contexte, de nombreuses organisations peuvent désormais avoir un besoin urgent d'aide extérieure".
L'étude montre qu'il est indispensable pour les MSSP de trouver, de développer et de conserver des collaborateurs disposant des connaissances et des compétences adéquates en matière de sécurité informatique afin de pouvoir s'imposer face à la concurrence des fournisseurs.
Près de 70 % des entreprises interrogées ont déclaré que le nombre d'experts en sécurité mis à disposition par un fournisseur de services de sécurité potentiel était un critère de sélection important pour elles.
Stratégie pick and mix
Pour la majorité des entreprises européennes, travailler avec des MSSP fait aujourd'hui déjà partie de la norme lors de la planification et de la mise en œuvre de leurs stratégies de sécurité informatique.
Plus de 70 % des personnes interrogées sont satisfaites de leur prestataire actuel. Si un changement de prestataire est prévu, le manque de flexibilité et de savoir-faire sont les principales raisons invoquées pour justifier cette décision.
Selon l'étude, 31 % des entreprises interrogées prévoient en outre de développer l'expertise en matière de sécurité informatique en interne. Face à l'évolution rapide des exigences et à l'imprévisibilité des conditions du marché, les fournisseurs ne doivent donc pas perdre de vue les besoins de leurs clients et doivent se positionner en conséquence.
John Madelin, PDG du sponsor premium Reliance ACSN, résume la situation comme suit :
"Le thème critique de la cybersécurité prend rapidement de l'importance. L'approche de cette problématique n'a en outre jamais été aussi visible qu'aujourd'hui, ce qui s'explique d'une part par l'intérêt croissant du management et d'autre part par la complexité croissante des domaines d'activité.
Il est intéressant de noter qu'un des résultats de l'étude est que les entreprises envisagent de faire revenir plus d'opérations dans l'entreprise. En fin de compte, les entreprises doivent se concentrer sur la sécurisation de leurs données sensibles.
Cela nécessite une infrastructure de sécurité de bout en bout gérée de manière appropriée : un défi pour les départements informatiques internes qui veulent gérer le sujet seuls".