Branche de la sécurité : 200 milliards de dollars de chiffre d’affaires, aucun effet ? Pourquoi, malgré les budgets croissants, les attaques s’intensifient

La branche mondiale de la cybersécurité génère plus de 200 milliards de dollars par an. En même temps, les dommages causés par les ransomwares, les fuites de données et les attaques réussies atteignent chaque année de nouveaux records. Quelque chose ne va fondamentalement pas – et la branche elle-même profite du problème qu’elle est censée résoudre.

L’essentiel

Le marché de la cybersécurité croît de 12 % par an – en même temps, les dommages causés par la cybercriminalité augmentent de 15 %
Les entreprises utilisent en moyenne 76 outils de sécurité différents – la complexité elle-même devient un risque pour la sécurité
La branche vend de la technologie plutôt que des résultats : aucun fournisseur ne garantit que son produit empêche réellement les attaques
La pénurie de compétences est en partie auto-infligée – la branche mise sur des certifications de niche plutôt que sur une compétence large

Le paradoxe de l’insécurité croissante

En 2015, le monde dépensait 75 milliards de dollars pour la cybersécurité. En 2025, ce chiffre dépassera les 200 milliards. Le marché s’est presque triplé. L’attente logique : la situation de sécurité devrait s’être améliorée proportionnellement. Le contraire est vrai.

Dommages causés par les ransomwares : quadruplés. Fuites de données par an : doublées. Durée moyenne de présence des attaquants dans le réseau : toujours supérieure à 200 jours. La branche ne croît pas malgré, mais en raison de la situation menaçante qui s’aggrave. Ce n’est pas une théorie du complot – c’est un problème structurel.

Prolifération des outils : la maladie vendue comme remède

Une entreprise moyenne de 1 000 employés utilise 76 outils de sécurité différents. Pare-feu, EDR, SIEM, SOAR, XDR, IAM, PAM, DLP, CASB, WAF, NDR, MDR, ASM, CSPM – chaque acronyme représente un produit, un tableau de bord, une licence distincts.

L’ironie : cette complexité des outils crée exactement les failles que les attaquants exploitent. Mauvaise configuration entre les systèmes. Fatigue des alertes due à des milliers de notifications quotidiennes. Problèmes d’intégration qui créent des angles morts. La solution de la branche ? Un outil supplémentaire – cette fois-ci, un outil qui orchestre tous les autres.

Le modèle économique de la FUD

Peur, incertitude, doute – Fear, Uncertainty, Doubt. Ce n’est pas seulement une tactique de marketing, mais le modèle économique de toute la branche. Chaque rapport de fournisseur met en garde contre des menaces exponentiellement croissantes. Chaque étude montre que les entreprises « doivent investir davantage ». Chaque discours commence par un scénario d’horreur.

Aucun fournisseur ne dit : « Vous avez suffisamment d’outils. Vous devez simplement configurer correctement ceux existants et former vos employés. » Pourquoi le feraient-ils ? Cela ne se vend pas sous forme de licence.

Ce qui serait vraiment efficace

Moins d’outils, meilleures bases : Le Australian Signals Directorate a montré que la mise en œuvre rigoureuse de huit mesures de base (Essential Eight) empêche plus de 85 % de toutes les cyberattaques. Aucun de ces huit éléments ne nécessite un produit coûtant plus de 50 000 euros.

Contrats basés sur les résultats : Pourquoi aucun fournisseur de sécurité ne garantit-il les résultats ? Les prestataires de services gérés pour la gestion des installations garantissent la disponibilité. Les fournisseurs de SaaS garantissent la disponibilité. Les fournisseurs de sécurité vendent des licences et laissent au client la responsabilité de l’efficacité. La branche a besoin de modèles économiques basés sur les résultats avec partage des risques.

Consolidation plutôt qu’ajout : Au lieu d’acheter l’outil numéro 77, les entreprises devraient se concentrer sur 15 à 20 outils et les configurer correctement. Les économies réalisées financent les experts qui peuvent réellement utiliser ces outils.

Conclusion : La branche doit se disrupter elle-même

La branche de la cybersécurité a un problème d’incitation : elle gagne de l’argent grâce à l’insécurité qu’elle est censée résoudre. Cela ne signifie pas que tous les produits sont inutiles – beaucoup sont excellents. Mais le système dans lequel ils sont vendus et déployés est dysfonctionnel. La solution ne vient pas de l’intérieur, mais des clients qui cessent d’acheter des tableaux de bord et commencent à exiger des résultats.

Key Facts

Prolifération des outils : Les entreprises avec plus de 50 outils de sécurité n’ont pas un taux de détection meilleur que celles avec moins de 20 – mais des coûts opérationnels 48 % plus élevés, selon IBM.

Problème de retour sur investissement : Seulement 14 % des CISOs peuvent quantifier le retour sur investissement en sécurité de leurs dépenses globales (Gartner, 2024).

Questions fréquentes

Cela signifie-t-il que les produits de sécurité sont inutiles ?

Non. Des produits individuels – EDR, SIEM, MFA – ont un effet prouvé. Le problème n’est pas la technologie elle-même, mais l’hypothèse selon laquelle plus de technologie signifie automatiquement plus de sécurité. Une configuration correcte et un personnel compétent sont plus importants que le nombre d’outils.

Pourquoi les entreprises ne consolident-elles pas simplement ?

Trois raisons : verrouillage par des contrats à long terme, peur des lacunes lors du remplacement, et inertie organisationnelle. Chaque outil a un champion interne qui l’a introduit. La consolidation nécessite une volonté politique au niveau de la direction.

Que devrait faire un CISO en premier lieu ?

Un inventaire honnête : quels outils sont réellement utilisés ? Lesquels fonctionnent sans surveillance ? Ensuite, consolidez, configurez correctement les outils restants et investissez les économies de licences dans la qualification des employés.

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch