Ne touchez pas au budget de sécurité ! Trouver des gains d’efficacité pour réduire les risques

Selon KPMG, 91 % des PDG américains pensent que les États-Unis se dirigent vers une récession. De nombreuses entreprises sont déjà en train de réduire leurs coûts.

Les CXO qui cherchent des moyens de se serrer la ceinture pourraient être pardonnés de s'intéresser longuement à leurs budgets de sécurité, car Gartner prévoit que les dépenses en technologies et services de sécurité le feront. croître annuellement de 11 % au cours des quatre prochaines années. Cependant, si la fréquence et le coût des ransomwares et autres cyberattaques ne les font pas réfléchir, l'évolution rapide des exigences réglementaires et de conformité devrait le faire. En conséquence, de nombreux dirigeants étudient les moyens de rationaliser et de redéfinir les priorités, plutôt que de réduire, leurs budgets de sécurité.

Des menaces croissantes en fréquence et en impact

Même si le rythme des attaques de ransomwares a ralenti en 2022, elles reviennent en force. Chainalysis prédit que les paiements de ransomware pourraient atteindre près de 900 millions de dollars en 2023, soit une hausse de 45 % sur un an. Et le bilan de toutes les violations ne cesse d’augmenter – Rapports ponémon la violation moyenne coûte désormais 4.45 millions de dollars, soit une augmentation de plus de 15 % depuis 2020.

Pourtant, le coût réel d’une attaque de ransomware peut dépasser de loin le montant réel de la rançon. Qu'il s'agisse de temps d'arrêt, de réparation du système ou d'atteinte à la réputation, les violations peuvent avoir un impact négatif sur les entreprises pendant des années. En conséquence, plutôt que de réduire les budgets de sécurité, 51 % des organisations prévoient d'augmenter leurs investissements en matière de sécurité, en particulier pour la planification et les tests de réponse aux incidents, la formation des employés et les outils de détection et de réponse aux menaces.

Exigences réglementaires et de conformité qui changent la donne

La Securities and Exchange Commission a récemment annoncé réglementation sur la divulgation et la déclaration en matière de cybersécurité devrait également servir de signal d’alarme pour de nombreuses entreprises. Les nouvelles règles obligent les entreprises publiques à divulguer toutes les cyber-violations importantes dans un délai de quatre jours. De plus, les organisations doivent publier leurs approches en matière de gestion des risques, de stratégie et de gouvernance en matière de cybersécurité dans leurs rapports annuels.

Ce n’est pas seulement la SEC qui renforce la réglementation. La nouvelle génération PCI 4.0 se profile à l'horizon, tout comme FedRAMP Rev. 5. Les coûts commerciaux liés à la non-conformité réglementaire deviennent également plus importants, car les entreprises doivent s'attendre à des amendes ou à des sanctions accrues. Pire encore, des niveaux accrus de transparence et de reporting signifient que les violations (et la réponse de l'entreprise) seront rendues publiques et analysées en détail. Les organisations qui ne disposent pas de réponses de sécurité efficaces, bien coordonnées et conformes peuvent subir une atteinte à leur réputation, une perte de clients et une baisse des valorisations boursières.

Ces changements réglementaires suggèrent une augmentation des dépenses de sécurité plutôt que des coupes budgétaires. Les organisations devront réorganiser les processus, les boîtes à outils et les protocoles de reporting pour améliorer la réponse aux menaces de cybersécurité et leur niveau d’expertise en matière de sécurité. Selon PwC, de nombreuses entreprises sont mal préparées à la transition.

Trouver des gains d'efficacité dans les budgets informatiques et de sécurité

Au lieu de réduire les budgets de sécurité, les organisations devraient rechercher des opportunités pour éliminer les inefficacités et les coûts superflus :

• Identifiez les doublons et le gaspillage. Un audit détaillé des infrastructures peut révéler des opportunités de réduction ou de réaffectation des dépenses. Par exemple, existe-t-il des applications qui peuvent être retirées ou des actifs matériels qui peuvent être mis hors service ou consolidés ? Les frais de maintenance ou de licence peuvent-ils être réduits ou renégociés ?
• Donnez la priorité à l’impact. L'évolution rapide du paysage de la sécurité signifie que les priorités financées l'année dernière pourraient ne pas produire les mêmes résultats dans le budget de l'année prochaine. Donner la priorité et financer les problèmes majeurs (et réduire les ressources consacrées aux initiatives secondaires) peut aider à réaffecter les fonds de sécurité pour obtenir le plus grand impact.
• Accélérez l’adoption du cloud. Le passage au cloud peut réduire les coûts d'infrastructure, réduire les exigences de gestion et accélérer les délais de développement et de déploiement d'applications. La migration vers le cloud peut également réduire les coûts en capital et en ressources humaines.

Combiner le NOC et le SOC – un changement stratégique

La transition vers le cloud met davantage l'accent sur la gestion du logiciel en tant que service (SaaS), par opposition à l'infrastructure traditionnelle. L'intégration des fonctions de centre d'opérations réseau (NOC) et de centre d'opérations de sécurité (SOC) peut optimiser l'utilisation des ressources et réduire les coûts. Cette intégration favorise également une visibilité et une collaboration améliorées et fournit un contexte plus large pour une meilleure analyse des incidents.

La consolidation du NOC et du SOC est un changement important qui peut affecter le reporting, la structure organisationnelle et même la culture de l'entreprise. Cela peut apporter des avantages financiers et opérationnels considérables, mais nécessite un engagement fort et descendant de la part de l’équipe de direction.

La sécurité reste une priorité absolue

Alors que les organisations cherchent des moyens de réduire leurs coûts dans une économie incertaine, elles sont également confrontées à des cyberattaques plus fréquentes et destructrices et à un paysage réglementaire en évolution rapide. Trouver des gains d'efficacité et redéfinir les priorités des ressources, plutôt que de réduire les budgets de sécurité, peut aider les entreprises à réduire les risques et à maintenir une infrastructure de sécurité efficace.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/risk/hands-off-the-security-budget-find-efficiencies-reduce-risk