Bonne nouvelle, la sécurité et la conformité ont atteint les lobes cérébraux de vos patrons. C’est en tout cas la conclusion d’IDC, venu présenter au Cercle Européen de la Sécurité son étude annuelle sur les tendances du marché de la sécurité (*)

Si l’amélioration du niveau de service demeure la priorité des directions, le renforcement de la sécurité arrive désormais en seconde position dans la liste des priorités (contre une troisième position l’an dernier). Si l’on y ajoute la conformité (4ème) et l’entrée au classement de plusieurs projets IT à fort potentiel sécuritaire (gestion des mobiles, médias sociaux), il n’est pas exagéré de conclure que ça y est, la sécurité a enfin atteint les hautes sphères décisionnelles.

Les budgets, en revanche, ne profitent pas vraiment de ce nouveau positionnement hiérarchique. L’on pressent même un tassement à venir, au demeurant parfaitement compréhensible. « En 2010 nous étions en sortie de crise et il était donc normal que les intentions d’investissement soient fortes. En 2011, nous ne sommes plus en sortie de crise et les intentions de croissance ralentissent naturellement« , précise Eric Domage (IDC). On ne parle toutefois pas ici de décroissance, mais bien, à terme, d’un plateau. En 2011, 48% des entreprises interrogées par IDC ne prévoient pas d’augmenter leurs investissements sécurité. Et les 43% qui le feront s’apprêtent à consentir une rallonge de 19,43% par rapport à l’année dernière.

Où dépenser le budget ?

Les projets qui bénéficieront de ces investissements n’étonneront guère : l’on retrouve en tête de liste la protection du poste de travail (dont le paysage change radicalement depuis la mode du Bring Your Own Device), la conformité (pas vraiment le choix…), le DLP (une relation d’amour / haine) et l’IAM (très lié à l’obligation réglementaire)

Le DLP mérite que l’on s’y arrête un instant : IDC note ce qu’il appelle un « effet falaise » chez les entreprises engagées dans un projet de prévention des fuites de données. A savoir une disparité forte entre la hausse moyenne des investissements (16% environ) et la baisse moyenne (50%). Cela pourrait s’expliquer par le fait qu’une solution de DLP est souvent « vendue mais pas maintenue« , résume pudiquement Eric Domage. L’on pourrait aller plus loin et estimer que ces solutions sont sur-vendues, qu’elles ne répondent pas au besoin des entreprises ou bien encore que la complexité pré-déploiement est rarement abordée (comme, par exemple, le laborieux projet de classification des informations, un mal nécessaire mais parfois ignoré. Cela fera d’ailleurs l’objet de notre prochain petit-déjeuner thématique, le jeudi 7 juillet prochain).

Enfin, les esprits chagrins pourraient (presque) dire la même chose de la gestion des identités : IDC note une augmentation moyenne des budgets alloués aux projets d’IAM de 29%, pour une baisse moyenne de 54%… Nous ne sommes donc guère loin de l’effet falaise observé avec le DLP, même si l’augmentation moyenne est supérieure (ce qui indique des investissement plus soutenus). IDC parle alors plutôt de « stagnation » dans le domaine.

A plus long terme, d’autres projets tels que la veille, le monitoring ou la sécurité applicative (par de la revue de code, par exemple), devront être adressés par les entreprises. Mais pour l’instant ces dernières semble plutôt bouder ces domaines de niche. « J’estime pourtant qu’à terme la sécurité by design – intégrée aux applications – et le monitoring constitueront l’essentiel du travail du RSSI, et que l’on verra une baisse des projets de sécurité opérationnelle au profit de la gestion d’une sécurité plus intégrée« , prophétise Eric Domage.

Les tendances : MSSP et BYOD

Deux tendances à noter dans les projets en cours ou à venir : le recours à l’externalisation et le support des terminaux choisis par l’utilisateur (BYOD).

Du côté de l’externalisation, la messe est dite : 66% des entreprises interrogées disent avoir déjà externalisé une partie de leur sécurité (essentiellement des projets simples tels que l’antivirus ou le pare-feu). Et seulement 6% sont persuadées n’avoir rien à externaliser. Les autres estiment qu’elles auront un jour à l’autre recourt à l’externalisation.

L’autre grand domaine d’inquiétude est la tendance au Bring Your Own Device (BYOD). IDC résume parfaitement le problème en deux statistiques : 95% des utilisateurs souhaitent pouvoir utiliser le terminal de leur choix (smartphone ou laptop), mais 70% des entreprises veulent pouvoir exercer un contrôle centralisé sur les équipements. Il y a clairement une forte dichotomie entre les souhaits des utilisateurs et les besoins des entreprises.

Et il ne faut pas compter sur le marché pour apporter une réponse clé-en-main pour l’instant. « C’est la première fois que l’on constate un besoin fort sans que le marché ne propose de vraie réponse« , estime Eric Domage. Et nous confirmons : notre petit-déjeuner thématique consacré au BYOD a parfaitement mis en évidence le besoin pressant des entreprises pour contrôler les terminaux personnels, et l’absence de solution convaincante (c’est à dire pérenne, mûre, globale). Depuis, RIM a toutefois annoncé vouloir couvrir Android et iOS avec son offre Blackberry Enterprise Server et l’acquisition d’Ubitexx. Une initiative qui pourrait changer la donne (et qui, accessoirement, serait certainement une reconversion diversification intelligente pour le fabricant, congénitalement à la traîne de ses concurrents pour ce qui est des terminaux).

Réduire les investissements

Enfin, pour ceux dont l’entreprise fait partie du camp réductionniste, Eric Domage propose un régime minceur en quatre étapes afin de réduire les investissements sécurité :

• Mettre la pression sur les fournisseurs (marge réalisée l’année précédente contre augmentation exigée cette année)
• Consolider les fournisseurs (les fournisseurs se diversifient via des acquisitions en série, profitez-en)
• Passer au MSSP ou au SaaS (« opexisez » vos dépenses sécurité)
• Penser à la virtualisation ou au Cloud (consolidation, économie d’infrastructures).

* L’étude 2011 présente les projets d’investissement et les priorités IT de 926 entreprises européennes, dont 126 françaises. Elle n’interroge pas les RSSI mais les directions IT.