Même dans le monde de la cybersécurité, les discussions sur les budgets de sécurité des entreprises ont tendance à virer au banal. Cependant, l’environnement macroéconomique actuel a contrecarré presque toutes les prévisions du marché, et même si nous savons avec certitude que le marché baissier a poussé la plupart des entreprises à l’austérité, son véritable impact sur les dépenses en matière de cybersécurité reste à ce jour une énigme.
Un rapport de YL Ventures Basé sur des données tirées d'enquêtes auprès des RSSI (responsables de la sécurité de l'information) et des décideurs en matière de cybersécurité du classement Fortune 1000, il met en lumière l'impact du marché baissier sur le comportement d'achat, la façon dont les stratégies de sécurité évoluent en réponse et comment les interactions des clients avec les fournisseurs ont changé au fur et à mesure. un résultat.
La moitié des RSSI ont encore une marge d’adaptation aux nouvelles solutions et, contrairement aux faibles attentes, 45 % des budgets cybersécurité sont restés inchangés voire augmentés. Plus précisément, un tiers des répondants (33,3 %) déclarent des budgets inchangés et 12,2 % ont vu leur budget augmenter.
Parallèlement, un autre tiers (33,3 %) des budgets de cybersécurité ont été réduits, tandis que 21,2 % des responsables de la cybersécurité gèrent actuellement des budgets gelés, ce qui signifie qu'aucune nouvelle dépense n'est possible.
Image: Rapport YL
Établir le premier contact
Même si les données peuvent sembler intimidantes, les prestataires disposent encore de nombreuses opportunités. Une grande majorité (75,8 %) des responsables de la cybersécurité sont toujours disposés à découvrir de nouveaux fournisseurs ; Il y a tout simplement davantage de facteurs qui sont pris en compte lors de la prise de décisions. Alors que près de la moitié (45,5 %) sont prêtes à rencontrer n'importe quel fournisseur, 18,2 % ne rencontrent que ceux qui s'adressent strictement à eux. vos priorités en matière de sécurité plus urgent et 12,1 % souhaitent uniquement en savoir plus sur les startups plus jeunes et plus petites.
En fait, c’est le moment idéal pour que les petites startups brillent et peut-être pour que les grands fournisseurs en prennent note. Aux yeux de la plupart des leaders de la cybersécurité, les petites entreprises et les entreprises en démarrage ont tendance à proposer des coûts de licence plus avantageux, ainsi qu'à concevoir des partenariats, permettant des solutions sur mesure mieux adaptées à leurs faiblesses et à leurs besoins opérationnels uniques.
Actuellement, 26,7 % des personnes interrogées comptent sur les services gratuits comme moyen temporaire. Si l’on repense aux jours les plus difficiles de la pandémie, lorsque de nombreux fournisseurs de cybersécurité offraient leurs services gratuitement, nous pouvons constater à quel point ces gestes ont généré de la bonne volonté et comment ils ont propulsé de nombreuses entreprises au sommet. Pour les vendeurs qui trouvent cela trop difficile à avaler, réfléchissez à l’efficacité des tactiques d’expansion et de foncier dans le passé, et rappelez-vous que la vague montante du conservatisme budgétaire laisse peu de place à l’entêtement pour demander des dépenses plus élevées.
La nécessité de contrats flexibles est rendue plus claire par les demandes explicites des RSSI eux-mêmes. De nombreux RSSI ayant participé au rapport ont eu des propos durs envers les fournisseurs qui leur proposent des contrats importants à la suite de licenciements ou de fermetures massives. Ils ont un jugement pire à l’égard de ceux qui s’appuient encore sur la tactique dépassée consistant à semer la peur, l’incertitude et le doute autour du paysage des menaces. Dans des moments aussi difficiles et sans fin en vue, répandez plus de négativité aucune C'est le moyen de gagner les cœurs.
La règle d’or consistant à comprendre les besoins des clients a pris des dimensions supplémentaires, à mesure que chaque entreprise connaît son propre parcours de pression financière. Les fournisseurs qui peuvent y être sensibles iront bien plus loin que ceux qui ne le sont pas.
Parler la même langue
L'esprit d'austérité, même parmi les RSSI dont les budgets ont augmenté, redéfinit la manière dont les acquisitions de nouveaux produits sont évaluées. Les vrais vétérans de la cybersécurité sont déjà familiers avec le processus de lutte pour l'approbation de nouveaux achats, généralement avec l'aide d'un retour sur investissement (retour sur investissement) démontrable. Cette expérience est une fois de plus utile car le retour sur investissement (ROI) et la réduction des coûts deviennent des facteurs plus importants que jamais dans la prise de décision.
Ensemble, le retour sur investissement (ROI) et la réduction des coûts représentent 60 % des principaux critères recherchés par les RSSI auprès des fournisseurs, ce qui en fait leur principal facteur décisif dans l'achat de produits. Les fournisseurs qui ne peuvent pas démontrer les bénéfices qu'obtiendront les RSSI auront du mal à survivre dans le paysage frugal d'aujourd'hui.
Le rapport révèle également comment cette frugalité se reflète dans la stratégie réelle de cybersécurité des entreprises. Les responsables de la cybersécurité sont depuis longtemps déterminés à rationaliser leurs opérations (ce qui implique désormais d’orchestrer de nombreux départements) et à dégonfler leurs piles de sécurité. Ils subissent désormais plus de pression qu’auparavant pour le faire. Selon les responsables de la cybersécurité interrogés, 80 % concentrent leurs efforts sur la consolidation de leurs solutions, 43,3 % ont résilié au moins un contrat avec un fournisseur, 70 % s'appuient davantage sur l'automatisation et 23,3 % ont dû licencier du personnel.
Il y a beaucoup à interpréter à partir de ces données. La première solution n’est peut-être pas surprenante, et pourtant les RSSI se retrouvent à répéter quotidiennement la même chose : les fournisseurs doivent cesser de vendre des fonctionnalités telles que les plateformes. C'est ainsi que leurs stacks ont tellement augmenté au début. Les solutions ponctuelles ne s'en sortiront pas beaucoup mieux de nos jours non plus, car la plupart des équipes de sécurité manquent de personnel pour passer du temps à apprendre de nouvelles technologies ou à trier davantage d'alertes. Cependant, ceux qui peuvent démontrer une petite courbe d’apprentissage et une intégration facile peuvent encore avoir une chance s’ils résolvent un problème prioritaire pour les RSSI.
La consolidation est véritablement la clé du jeu pour les entrepreneurs qui cherchent à bâtir de grandes entreprises. Les discours qui démontrent comment une seule solution peut donner un sens au bruit, voire en remplacer plusieurs autres, ont beaucoup plus de chances de convaincre les RSSI. Cela rappelle également une autre tendance importante : les mesures d’austérité encouragent un retour à l’essentiel.
Se concentrer sur ce qui compte
La priorité absolue actuelle est de protéger les environnements commerciaux existants avec une efficacité maximale et de couvrir les angles morts restants. Malgré des équipements et des solutions surdimensionnés, voire superposés, de nombreux domaines de protection importants restent négligés. Lorsque les personnes interrogées ont eu la possibilité de sélectionner plusieurs domaines d'intervention, les domaines suivants ont reçu la plus grande attention : en matière d'environnements, 75 % donnent la priorité à la sécurité du cloud, 50 % à la sécurité des données, 46,9 % à la sécurité des applications, 25 % à la sécurité de la chaîne d'approvisionnement, 28,1 % % de sécurité SaaS et 21,9 % de sécurité API.
La tendance vers la sécurité générale et de base se reflète également dans les disciplines qu'ils privilégient : 40,6 % donnent la priorité à la conformité et à la gestion des risques, 31,3 % à l'évaluation des vulnérabilités, 28,1 % à la détection et à la réponse et 15,6 % à l'accès à distance. Cette liste peut paraître surprenante au premier abord. Où est l’IAM ? Qu’en est-il de l’orchestration, de la remédiation et de l’analyse du comportement des utilisateurs ? Bien entendu, l’IA est la plus absente. Cela ne veut pas dire que les RSSI ne manifestent pas d’intérêt pour ces domaines, bien au contraire.
Au moins en ce qui concerne l'IA, de nombreux RSSI attendent leur temps pour trouver une solution adaptée et utilisent les outils existants pour les aider à voir et à gérer au mieux les risques générés par l'IA. Ou alors ils interdisent simplement l’utilisation de l’IA générative. Quant aux autres types de solutions, il n’existe toujours pas de données concrètes permettant d’en évaluer de manière quantifiable l’intérêt. Cependant, nous constatons une augmentation marquée de ce type de solutions sur le marché et nous pouvons nous attendre à ce que l'intérêt pour celles-ci augmente au cours de l'année prochaine.
Même dans ce qui semble être un désert de clients, les fournisseurs qui jouent bien leurs cartes peuvent toujours s’imposer. Cela est particulièrement vrai pour ceux qui peuvent apporter cette précieuse expérience pour guider les stratégies des RSSI dans ces domaines plutôt que de fournir de simples avertissements sur les risques encourus.
