L’inégalité des budgets alloués à la cyberdéfense joue un rôle majeur dans la dégradation du panorama de la sécurité. Il existe des disparités considérables entre les nations et les entreprises qui ont la capacité financière de déployer des technologies de cybersécurité avancées et celles qui n’en ont pas les moyens.
Inégalités budgetaires : nos cyberdéfenses mondiales s’affaiblissent
Par conséquent, lorsque des groupes disposant de ressources financières plus importantes s’associent à des partenaires et fournisseurs dont les budgets informatiques et de sécurité sont plus restreints, les risques d'interruption des activités et de la chaîne d'approvisionnement augmentent. Toutes les parties se retrouvent ainsi inévitablement exposées à un plus grand risque d'intrusion. Il est donc nécessaire de mettre l'accent sur « un nivellement par le haut » de la sécurité pour que les choses changent, faute de quoi l'économie mondiale sera à la merci des cybercriminels.
Analyse des inégalités en matière de cybersécurité
Une grande entreprise d'un pays développé consacre facilement 12 à 15 % de son budget annuel à la cybersécurité. En revanche, une entreprise moyenne de soins de santé ne pourra y consacrer que 4 à 7 %. Certaines entreprises du secteur de la santé, notamment dans les pays en développement, n'ont même pas les moyens de recruter des infirmières ou des médecins supplémentaires et peinent même à se procurer des médicaments. Croire qu'elles ont un excédent de ressources à consacrer à la cybersécurité est ridicule, surtout lorsque l'on sait que le secteur de la santé, classé troisième parmi les plus fréquemment ciblés, a des répercussions directes sur la vie des patients.
Vingt pour cent des écoles ne peuvent pas consacrer plus de 1 % de leur budget annuel à la cybersécurité. Certaines institutions n'ont tout simplement pas les moyens. Elles sont donc extrêmement vulnérables aux cybermenaces. Et pourtant, l'éducation est le secteur le plus attaqué dans le monde.
Difficile d’expliquer à des entreprises en proie à des difficultés budgétaires qu'elles doivent consacrer 15 % ou plus de leur budget à la cybersécurité. Ça n’est pas raisonnable. Quoi qu'il en soit, si aucune avancée n'est réalisée dans ce domaine, si nous continuons à tergiverser, les entreprises moins bien loties continueront à se faire attaquer et nous en subirons tous les conséquences
De leur côté, ces entreprises poursuivront leur spirale infernale car elles n'ont pas non plus les ressources nécessaires pour recruter du personnel de cybersécurité en nombre suffisant ni suffisamment formé. Pour couronner le tout, les entreprises qu’elles soient à l'intérieur ou à l'extérieur de ces écosystèmes sont fondamentalement plus vulnérables. C'est un problème qui finit par avoir un impact sur toutes les entreprises et sur notre écosystème mondial et interconnecté.
Remédier aux inégalités en matière de cybersécurité
Il va falloir faire preuve d'innovation pour résoudre les inégalités et leurs conséquences en matière de cybersécurité. Une facette de cette innovation devrait se concrétiser sous la forme d'une collaboration opérationnelle entre nations, industries et secteurs. Le secteur privé pourrait être encouragé à partager son expertise avec le secteur public et permettre ainsi à ce dernier de renforcer ses programmes de cybersécurité en fonction des exigences actuelles.
Quant aux fournisseurs de cybersécurité, eux aussi doivent faire preuve d'innovation. Ils doivent s'assurer que leurs produits sont accessibles à différents niveaux, et ainsi favoriser une amélioration globale plutôt que de contraindre l'adoption de solutions moins efficaces.
Recommandations : les groupes aux ressources limitées
Tout d'abord, les RSSI doivent savoir exactement quelles sont les technologies de sécurité qu'ils ont déjà mises en place. Ils doivent identifier les capacités dont ils disposent. Autrement dit, ils doivent à la fois comprendre ce qu'ils ont et savoir où se situent les chevauchements. Les doublons font perdre de l’argent.
Deuxièmement, les RSSI doivent comprendre le fonctionnement des outils qui existent déjà. Ces systèmes offrent-ils les niveaux d'efficacité nécessaires pour les actifs les plus critiques de l'entreprise ? La sécurité est-elle trop rudimentaire ? Fournit-elle un niveau de protection suffisant ?
Ensuite, les RSSI doivent simplifier la multiplication de leurs outils en les consolidant, trouver une solution qui permet de limiter les doublons et de renforcer la sécurité, tout en réduisant les frais généraux et les autres coûts. Ils pourront ainsi présenter une analyse de rentabilité pour justifier l'adoption d'une approche différente.
Les RSSI dont les ressources sont limitées devraient considérer l'achat de services de sécurité via des modèles « pay-as-you-consume » pour réduire les coûts ou gagner en efficacité à moindre coût.
Pour aller plus loin
Face à la progression des menaces liée aux outils d'intelligence artificielle, notamment dans des domaines comme le phishing, les ransomwares et les deepfakes, toutes les entreprises doivent renforcer leurs capacités de cybersécurité offensives. Les protections classiques ne suffisent plus. Pour l'instant, les dirigeants doivent faire preuve de créativité pour contourner les difficultés liées à l'insuffisance des ressources en matière de cybersécurité. Mais des solutions existent, comme nous l'avons vu plus haut. Il est impératif que nous comblions les lacunes qui existent en la matière et qui sont dues aux inégalités dans le domaine de la cybersécurité. Tout comme une vulnérabilité isolée pourrait provoquer des conséquences catastrophiques au sein des entreprises et des écosystèmes, une sécurité renforcée peut générer des effets positifs à l'échelle globale.
Privilégier la cybersécurité, c'est à la fois se protéger contre les risques et poser les bases du progrès, de la prospérité et d'une société sereine.