D’après Kaspersky, cette hausse des budgets est motivée par la sophistication croissante des attaques, la pression réglementaire, et la prise de conscience de l'impact financier des incidents de sécurité.
Dans un contexte d’augmentation des cyberattaques et de durcissement des régulations, avec notamment l’entrée en vigueur prochaine en Europe des directives Dora et NIS2, ainsi que du règlement Cyber Resilience Act (CRA), les entreprises sont sous surveillance accrue. Si certaines études tendent à montrer que la mise en conformité pèse directement sur les comptes, les entreprises prennent davantage conscience des pertes financières qu’elles risquent en cas d’attaque ou de non-conformité. Elles semblent ainsi plus enclines à augmenter leur budget sécurité informatique.
C’est en tout cas ce que suggère le rapport de Kaspersky sur l’Économie de la Sécurité informatique, présenté mercredi 27 novembre. L’enquête a été menée dans 27 pays d'Europe, de la région Asie-Pacifique, du Moyen-Orient, de la Turquie, d’Afrique, d’Amérique latine et d’Amérique du Nord. Selon les conclusions, les entreprises prévoient d’augmenter leur budget sécurité informatique de 9 % en moyenne au cours des deux prochaines années.
Un coût de remédiation qui dépasse le budget
Pour Kaspersky, cette tendance s’explique par la complexité croissante des attaques, qui exige des solutions de sécurité avancées, par les exigences réglementaires qui induisent une augmentation des dépenses, par la hausse des prétentions salariales des experts en cybersécurité, et bien sûr, par la prise de conscience des pertes financières causées par les incidents.
« En 2024, les grandes entreprises ont été confrontées à 11,6 incidents en moyenne, dépensant chacune 6,2 millions de dollars pour y remédier, soit 1,1 fois plus que le budget alloué à la sécurité informatique dans son ensemble. » Les PME ont subi en moyenne 14 incidents et ont consacré 300 000 dollars à leur remédiation, soit l’équivalent de 1,5 fois leur budget sécurité informatique. L'impact sur ces petites structures est particulièrement préjudiciable. « Elles manquent souvent de mesures et de procédures éprouvées en matière de cybersécurité, ce qui les rend vulnérables aux incidents liés à l’erreur humaine, à une mauvaise configuration de leur cloud public et à des autorisations de haut niveau », explique Kaspersky. En France, les entreprises ont enregistré en moyenne 14 incidents sur l’année écoulée, pour environ 500 millions de dollars de frais de remédiation.
Actuellement, les budgets médians des grandes entreprises s’élèvent à 5,7 millions de dollars pour la sécurité, sur un budget informatique global de 41,8 millions de dollars. « Les PME investissent en moyenne 200 000 dollars en cybersécurité, sur un budget informatique annuel médian de 1,5 million de dollars », précise Kaspersky. En France, toutes entreprises confondues, la moyenne des dépenses en cybersécurité atteint 968 000 dollars, sur un budget informatique total de 5,3 millions de dollars.