Assises de la Sécurité : la demande des entreprises françaises

Les acteurs de la sécurité affichent des taux de progression envieux, mais pour autant les entreprises ne disposent pas toujours d’une réelle lisibilité sur leur budget sécurité. Ainsi, selon l’étude IDC auprès des entreprises françaises de plus de 500 salariés, 39 % seulement d’entre elles disposent d’un budget sécurité.

Pour les 61 % restant, leurs dépenses de sécurité sont diluées dans le budget informatique, et ne font l’objet d’aucune affectation analytique qui permette de les identifier. Il faut généralement que l’entreprise se voit contrainte de répondre à des obligations d’analyse et de projection budgétaire, et mette en place un RSSI (responsable de la sécurité des systèmes d’information), pour qu’elle détaille son budget de sécurité informatique.

En matière d’évolution des budgets, le constat est le même que pour les acteurs, elle reste stable. Près de la moitié des entreprises (49 %) maintiennent constant leur budget sécurité, 36 % l’augmentent, et seulement 8 % le diminuent. Cumulé avec la réduction régulière des coûts, mais aussi des périmètres de sécurité (volumes de terminaux couverts et obligations), les dépenses confirment leur stabilité.

Paradoxe, si à la moitié de l’année calendaire, il subsiste de fortes intentions d’investissements, et donc des lignes de budgets non consommées, les RSSI interrogés par IDC ne peuvent se projeter à court terme, et a fortiori afficher leurs intentions pour 2007.

Pour IDC, les RSSI disposent de budgets qu’ils qualifient de ‘raisonnables‘, ils ne s’inscrivent donc pas dans la gestion de la gestion de la rareté budgétaire et disposent de moyens cohérents avec leur mission. Et le mode réactif est installé dans la gestion au quotidien, ce qui vient se combiner avec la programmation sur plusieurs années des grands projets.

Dépenses 2006 et projections sur 2007 et au-delà

Il ressort cependant que les investissements en 2006 ont jusqu’à présent porté sur les antivirus (47 %), anti-spam (44 %), firewall (38 %), VPN (35 %), contrôle d’URL (32 %), IDS (32 %), IPS (29 %), audit vulnérabilités (26 %), contrôle des messageries (16 %), SSO (14 %) et authentification forte (11 %).

Pour 2007, le périmètre des projets des entreprises s’annonce quelque peu différent et les investissements bifurquent clairement sur :, ainsi que l’IPS (14 %), IDS (9 %), VPN (7 %), contrôle de messageries (6 %), anti-spam (5 %), antivirus (4 %) et firewall (3 %).

Au-delà de 2007, sur des projets à plus long terme, c’est toujours la gestion des identités qui l’emporte, avec l’authentification forte qui l’emporte (18 %), ainsi que SSO (11 %) et administration centralisée (10 %).

Enfin, en matière de projets de l’entreprise pour la sécurité des systèmes d’information, le taux de projets déjà effectués vient démontrer leur maturité sur certains d’entre eux. Sont plus particulièrement concernés les projets de type sécurisation des applications critiques, des réseaux, des e-mails, le backup, la sécurisation des accès distants, la mise en conformité réglementaire, l’administration centralisée de la SSI, et la sécurisation des applications web.

C’est pourquoi l’urgence semble désormais porter sur les projets de sécurisation basique, PRA-PCVA continuité d’activité (33 %) et la formation du personnel (30 %).