Selon l’ENISA, les budgets de sécurité informatique sont en baisse
Il y a les mots et il y a les actes. L’agence de l’Union européenne pour la cybersécurité vient de s’inquiéter d’une baisse en 2021 des budgets consacrés à la sécurité de l’information des opérateurs de services essentiels et des fournisseurs de services numériques européens. Or, comme le rappelle l’Estonien Juhan Lepassaar, le patron de l’ENISA, « la résilience de nos infrastructures et technologies critiques dépendra fortement de notre capacité à réaliser des investissements stratégiques ».
The 🆕 edition of the Cybersecurity NIS Investments report is out.
💶 Is the money enough to meet new #Cybersecurity standards?
Key findings and full report ➡️https://t.co/LlAIWL93hO #NIS2 pic.twitter.com/Mh2BiThNbG
— ENISA (@enisa_eu) November 23, 2022
publicité
Baisse d’environ 13 %
Selon l’agence européenne, qui a sondé plus d’un millier d’organisations à travers l’UE, la part médiane du budget IT consacré à la cybersécurité est passée de 7,7 % à 6,7 %, soit une baisse d’environ 13 %. Cela représente environ 0,6 million d’euros pour un budget informatique médian d’environ 10 millions d’euros.
Certes, les moyennes sont considérablement plus élevées, avec un budget informatique moyen de 60 millions d’euros pour des investissements dans la sécurité de 4 millions d’euros. Mais pour l’ENISA, les valeurs médianes sont plus représentatives dans la mesure où les moyennes sont tirées par les budgets de grandes organisations.
Coût d’un incident de sécurité doublé
Des chiffres à mettre en perspective avec le coût d’un incident de sécurité, estimé à plus de 200 000 euros (valeur médiane). C’est, remarque l’ENISA, deux fois plus que l’an dernier, ce qui montre que le coût des incidents est à la hausse. Les incidents de sécurité les plus coûteux se retrouvent dans des organisations du secteur bancaire et de la santé.
Pour 69 % des répondants, la majeure partie des incidents de sécurité sont dus à l’exploitation de vulnérabilités logicielles ou matérielles. Si 46 % des opérateurs de services essentiels et des fournisseurs de services numériques patchent les vulnérabilités critiques dans un délai inférieur à un mois, ils ne sont que 92 % à l’avoir fait dans les six mois suivant la découverte, signifiant ainsi qu’il reste encore 8 % d’organisations vulnérables.
Assurance cyber en panne
L’ENISA remarque enfin la baisse des organisations ayant recours à une assurance cyber, un sujet sur la table du Parlement français qui planche sur un renforcement du cadre légal. Alors que 43 % des répondants indiquaient l’an passé avoir souscrit une formule, ils ne sont plus que 30 % en 2021.
« L’écart est très marqué entre les grandes entreprises et les PME », souligne l’agence européenne, qui appelle à « améliorer la sensibilisation des petites entreprises » et à une offre de cyberassurance plus ciblée pour ce type de profils.
