Rejoignez nos newsletters quotidiennes et hebdomadaires pour les dernières mises à jour et du contenu exclusif sur la couverture de l’IA de pointe du secteur. Apprendre encore plus
À l’horizon 2025, la protection des revenus et la minimisation des risques commerciaux doivent dominer les budgets des RSSI, avec des investissements alignés sur les priorités des opérations commerciales.
Forrester dernier Guide de planification budgétaire pour la sécurité et les risques Le rapport de Forrester précise que la sécurisation des actifs informatiques critiques pour l’entreprise doit être une priorité absolue pour l’année prochaine. « Les augmentations budgétaires que recevront les RSSI en 2025 devraient donner la priorité à la gestion des menaces et des contrôles en matière de sécurité des applications, des personnes et des infrastructures critiques pour l’entreprise », écrit Forrester dans le rapport.
Les RSSI doivent redoubler d’efforts pour protéger les applications, sécuriser les infrastructures critiques et améliorer la gestion des risques humains. Forrester considère la sécurité de la chaîne d’approvisionnement logicielle, la sécurité des API et la détection des menaces IoT/OT comme des éléments essentiels des opérations commerciales et conseille aux RSSI d’investir dans ces domaines.
Générer des gains de revenus en protégeant les nouvelles activités numériques tout en préservant la sécurité de l’infrastructure informatique avec un budget serré est un moyen éprouvé pour Les RSSI pour faire progresser leur carrière.
Considérez la cybersécurité avant tout comme une décision commerciale
Le principal enseignement du guide de planification de Forrester est que les investissements en cybersécurité doivent être considérés comme une décision commerciale en premier lieu. Les principales conclusions et directives du rapport soulignent comment et pourquoi les RSSI doivent faire des compromis sur les outils et les dépenses pour maximiser la croissance des revenus tout en générant un retour sur investissement solide.
Forrester appelle les RSSI à examiner attentivement toute application, tout outil ou toute suite contribuant à la prolifération technologique et à les supprimer de leurs piles technologiques lorsqu’ils ajoutent de nouvelles technologies.
Les informations essentielles issues du guide de planification budgétaire de Forrester pour la sécurité et les risques incluent les suivantes :
- 90 % des RSSI verront leur budget augmenter l’année prochaine. Les budgets consacrés à la cybersécurité sont, en moyenne, de 5,7 % des dépenses annuelles en informatique. C’est peu, compte tenu de l’ampleur du rôle d’un RSSI, qui consiste à protéger les nouvelles sources de revenus et à renforcer l’infrastructure. Forrester cite son enquête sur la planification budgétaire 2024 dans le guide, prédisant que les budgets continueront d’augmenter au cours des 12 prochains mois. Dix pour cent prévoient une augmentation de plus de 10 % au cours des 12 prochains mois. Un tiers s’attend à une augmentation comprise entre 5 et 10 %, et près de la moitié s’attend à une augmentation modeste comprise entre 1 et 4 %. Seuls 7 % des budgets resteront les mêmes, et seulement 3 % prévoient des budgets réduits en 2025.
- Prenez le contrôle de la prolifération technologique dès maintenant. L’étalement technologique est le tueur silencieux des gains budgétaires, prévient Forrester. En moyenne, les RSSI voient un peu plus d’un tiers de leur budget provenir des logiciels, doublant ainsi leurs dépenses en matériel et dépassant également leurs dépenses de personnel, selon une étude récente Étude ISG« Pour lutter contre le véritable problème qui afflige déjà les responsables de la sécurité – la prolifération technologique – nous recommandons d’adopter une approche conservatrice dans l’introduction de nouveaux outils et fournisseurs avec ce principe pragmatique : n’ajoutez rien de nouveau sans vous débarrasser d’autre chose au préalable », écrit Forrester dans le rapport.
Source : Guide de planification budgétaire 2025 de Forrester pour les responsables de la sécurité et des risques
- La sécurité du cloud, la mise à niveau des nouvelles technologies de sécurité exécutées sur site et les initiatives de sensibilisation/formation à la sécurité devraient augmenter les budgets de sécurité de 10 % ou plus en 2025. En particulier, 81 % des décideurs en matière de technologies de sécurité prévoient que leurs dépenses en matière de sécurité du cloud augmenteront en 2025, 37 % s’attendant à une augmentation de 5 à 10 % et 30 % à une augmentation de plus de 10 %. La priorité élevée accordée à la sécurité du cloud reflète le rôle essentiel que jouent les environnements, les plateformes et les intégrations cloud dans la posture de sécurité globale des entreprises. À mesure que de plus en plus d’entreprises adoptent et créent des plateformes et des applications internes sur les plateformes IaaS, PaaS et SaaS, les dépenses en matière de sécurité du cloud continueront de croître.
La défense des revenus commence par les API et les chaînes d’approvisionnement en logiciels
Une partie essentielle du travail de chaque RSSI consiste à trouver de nouveaux moyens de protéger les revenus, en particulier les initiatives axées sur le numérique, pour lesquelles les équipes DevOps des entreprises travaillent d’arrache-pied cette année.
Voici les priorités qu’ils suggèrent, d’après le rapport :
Le renforcement de la sécurité de la chaîne d’approvisionnement des logiciels et des API est indispensable. En faisant valoir que la complexité, la variété et le volume des surfaces d’attaque prolifèrent dans les chaînes d’approvisionnement de logiciels et les référentiels d’API, Forrester souligne que la sécurité est nécessaire de toute urgence dans ces deux domaines. 91% des entreprises ont été victimes d’incidents dans leur chaîne d’approvisionnement de logiciels en seulement un an, ce qui souligne la nécessité de meilleures mesures de protection pour les pipelines d’intégration/déploiement continus (CI/CD). Les bibliothèques open source, les outils de développement tiers et les API héritées créées il y a des années ne sont que quelques-uns des vecteurs de menaces qui rendent les chaînes d’approvisionnement et les API de logiciels plus vulnérables.
Les attaquants malveillants cherchent souvent à compromettre des composants open source largement distribués, comme l’illustre la vulnérabilité Log4j. Définir une stratégie de sécurité des API L’intégration directe dans les workflows DevOps et le traitement du processus d’intégration continue et de livraison continue (CI/CD) comme une surface de menace unique sont des enjeux majeurs pour toute entreprise qui utilise DevOps aujourd’hui. La détection et la réponse des API, les politiques de correction, l’évaluation des risques et la surveillance de l’utilisation des API sont également urgentes pour que les entreprises puissent mieux sécuriser ce vecteur d’attaque potentiel.
Les capteurs IoT continuent d’être un pôle d’attraction pour les attaques
L’Internet des objets (IoT) est le vecteur d’attaque le plus populaire utilisé par les attaquants pour attaquer les systèmes de contrôle industriel (ICS) et les nombreuses usines de traitement, centres de distribution et centres de fabrication qui en dépendent quotidiennement. CISA continue d’avertir que les acteurs étatiques ciblent les actifs de contrôle industriel vulnérables et aujourd’hui trois nouveaux avis sur les systèmes de contrôle industriel ont été publiés par l’agence.
Les principales tendances de Forrester en matière de sécurité IoT en 2024publié plus tôt cette année et couvert par VentureBeata constaté que 34 % des entreprises ayant subi une violation ciblant les appareils IoT étaient plus susceptibles de signaler des coûts de violation cumulés compris entre 5 et 10 millions de dollars par rapport aux organisations ayant subi des cyberattaques sur des appareils non IoT.
« En 2024, le potentiel d’innovation de l’IoT est tout simplement transformateur. Mais cette opportunité s’accompagne de risques. Chaque appareil connecté représente un point d’accès potentiel pour un acteur malveillant », écrit Ellen Boehm, vice-présidente principale de la stratégie et des opérations IoT pour Facteur clé. Dans leur récent rapport sur la sécurité de l’IoT, La confiance numérique dans un monde connecté : état des lieux de la sécurité de l’IoTKeyfactor a constaté que 93 % des organisations sont confrontées à des difficultés pour sécuriser leur IoT et leurs produits connectés.
« Nous connectons tous ces appareils IoT, et toutes ces connexions créent des vulnérabilités et des risques. Je pense qu’avec la cybersécurité OT, je dirais que la valeur en jeu et les enjeux globaux pourraient être encore plus élevés qu’ils ne le sont en matière de cybersécurité informatique. Lorsque vous pensez à l’infrastructure et aux types d’actifs que nous protégeons, les enjeux sont assez élevés », a déclaré Kevin Dehoff, président et chef de la direction de Entreprise connectée Honeywella déclaré à VentureBeat lors d’une entretien l’année dernière.
« La plupart des clients sont encore en phase d’apprentissage sur l’état de leurs réseaux et infrastructures OT. Et je pense qu’un certain réveil va se produire. Nous fournissons une vue en temps réel des cyber-risques OT », a déclaré Dehoff.
Assurer la protection de l’accès aux appareils IoT à l’aide Le zero trust est un enjeu de taille pour réduire la menace de violations. Institut national des normes et de la technologie (NIST) fournit Publication spéciale NIST 800-207qui est particulièrement adapté à la sécurisation des appareils IoT, compte tenu de son objectif de sécurisation des réseaux où la sécurité traditionnelle basée sur le périmètre n’est pas à la hauteur du défi de la protection de chaque point de terminaison.
Le pragmatisme doit dominer les budgets des RSSI en 2025
« Trop d’outils, trop de technologies et pas assez de personnes continuent d’être le thème d’un écosystème de fournisseurs de cybersécurité fragmenté et très technologique », prévient Forrester.
Considérer les dépenses de cybersécurité comme un investissement commercial est une priorité que Forrester considère comme une priorité pour ses clients, compte tenu de la manière dont ce message est mis en avant tout dans le guide. Le message est de réduire la prolifération technologique, comme l’entreprise l’a déjà fait concernant la nécessité de consolider les applications, outils et suites de cybersécurité.
Il est temps que la cybersécurité soit financée comme un moteur de croissance, et non pas seulement comme un moyen de dissuasion.
Les RSSI peuvent équilibrer la balance en recherchant une opportunité d’élever leur rôle au rang de rapport direct du PDG et, idéalement, de siéger au conseil d’administration pour aider à guider leur entreprise à travers un paysage de menaces de plus en plus complexe.