Table of Contents
Quel est le coût d’une politique de cybersécurité ? Son ROI est-il suffisant ? Et surtout : les éditeurs de logiciels ont-ils intérêt à investir davantage dans leurs mesures cyber ? Réponses.
Les entreprises de tous secteurs rencontrent des difficultés à suivre l’évolution constante des cybermenaces et à adapter leur budget cyber en conséquence. Les éditeurs de logiciels sont de plus en plus nombreux à migrer vers le cloud et sont donc particulièrement impactés. Les nouvelles problématiques en matière de protection des données que le cloud soulève ont accentué la demande au niveau de la cybersécurité : les éditeurs de logiciels prévoient d’augmenter leur budget dédié à la cyberdéfense de 5% à 15% d’ici fin 2023 (source : Auris-finances).
Combien coûte une politique de cybersécurité ?
Des coûts importants…
La mise en place d’une politique de cybersécurité efficace demande des investissements conséquents quel que soit le type d’organisme concerné.
La première étape est souvent la mise en place d’une solution de surveillance et de protection des actifs, comme un EDR ou un XDR. Selon un rapport Kaspersky, les entreprises ont ici la possibilité d’investir dans trois types de solutions, avec des coûts distincts :
- Une solution de cybersécurité traditionnelle sur site lorsque la cybersécurité est prise en charge en interne par les équipes informatiques de l’entreprise. Le rapport évalue le coût annuel moyen d’une telle solution à 54 300€.
- Une solution de cybersécurité via le cloud où le dispositif de cybersécurité est mis en place par l’hébergeur. Cette solution coûterait en moyenne 27 200€ aux organismes.
- Une solution de cybersécurité externalisée : l’entreprise fait appel à des professionnels de la cybersécurité pour garantir sa sécurité informatique, pour un budget moyen de 36 000€ par an.
Quelle que soit la solution choisie, le coût reste important pour les entreprises. Particulièrement pour les grands groupes avec beaucoup d’équipements et de collaborateurs. Cet investissement reste pourtant faible comparé aux coûts d’une cyberattaque réussie…
… à mettre en perspective avec les répercussions financières d’une cyberattaque
Selon une étude IBM, une cyberattaque coûte en moyenne 4,45 millions de dollars à l’organisme victime. Chaque attaque engendre :
- Des coûts visibles pour l’entreprise, tels que :
- La perte d’exploitation
- Les honoraires des experts engagés pour éliminer le danger et/ou en trouver l’origine (analyse forensique)
- Les frais de justice et amendes en cas de dommages sur des clients
- Le prix du renforcement rapide des moyens de sécurisation
- Des coûts cachés, tels que :
- Une perte de crédibilité notamment lorsque l’organisme piraté travaille dans le secteur informatique
- Une perte de propriété intellectuelle
- Une perte de confiance des collaborateurs et des clients
En comparant les coûts de la cybersécurité à ceux d’une cyberattaque : il est plus rentable d’instaurer une politique cyber que de risquer une attaque. Les éditeurs de logiciels ont donc tout intérêt à investir car ils sont des cibles privilégiées pour les cybercriminels.
Les bénéfices d’une politique de cybersécurité pour les éditeurs de logiciels
La mise en place d’une politique de cybersécurité apporte des bénéfices aux éditeurs de logiciels – bien qu’ils soient difficiles à chiffrer.
Préserver ou gagner la confiance des utilisateurs
Les utilisateurs d’un logiciel attendent de celui-ci qu’il réponde à un certain niveau de qualité mais également à un certain degré de sécurité, qui pourra bientôt être mesuré avec un “cyberscore”. Les éditeurs de logiciels qui investissent dans une politique de cybersécurité ont ainsi plus de chances de :
- Se démarquer face à la concurrence : une solide politique de cybersécurité peut être un argument de poids lors du choix d’un logiciel. ;
- Fidéliser leurs clients existants : un éditeur de logiciels qui n’a jamais été piraté inspire la confiance et incite les clients à réinvestir.
Instaurer une politique de cybersécurité et communiquer à propos de celle-ci peut faire office de véritable levier pour acquérir de nouveaux clients et fidéliser les anciens.
Lire aussi : Éditeurs de logiciels, la cybersécurité comme levier de confiance
Répondre aux obligations réglementaires
Une politique de cybersécurité aide également les éditeurs de logiciels à prouver qu’ils répondent bien à certaines obligations réglementaires, telles que :
- Le Règlement Général sur la Protection des Données (RGPD) qui impose des mesures strictes pour garantir la sécurité des données personnelles des utilisateurs.
- L’imminent Cyber Resilience Act (CRA) européen, qui imposera des exigences de cybersécurité aux vendeurs et fabricants de produits numériques – software comme hardware.
- La Loi de Programmation Militaire (LPM) qui oblige les éditeurs de logiciels opérant sur le territoire français à informer leurs clients et l’ANSSI en cas de vulnérabilité significative dans un produit.
LPM 2023 – tous les éditeurs de logiciels en France doivent signaler leurs vulnérabilités à l’ANSSI
Au regard des coûts, bénéfices et conséquences potentielles, investir dans une solide politique de cybersécurité fait office d’obligation pour les éditeurs de logiciels souhaitant préserver leur activité.
Directive NIS2 : Guide de conformité étape par étape
Un guide de 40 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la directive. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.
Editeurs de logiciels : comment vous protéger ?
Vous pouvez exploiter diverses solutions cyber pour garantir la sécurité de vos systèmes d’information et de vos produits.
Pour limiter les risques d’attaque – et les coûts associés –, la première étape consiste à auditer votre SI et vos produits afin d’identifier les vulnérabilités.
Le Pentest et le Bug Bounty sont des solutions particulièrement efficientes :
- Pentest as a Service : un audit de sécurité lancé en moins d’une semaine et pour un prix fixe. Défrichez la plupart des vulnérabilités dans un produit et évaluez son niveau de sécurité à un instant T, ou planifiez plusieurs pentests tout au long de votre cycle de développement dans le cadre d’une approche DevSecOps.
- Bug bounty : une chasse aux vulnérabilités en profondeur avec les chercheurs en sécurité de la Yogosha Strike Force. Identifiez les failles les plus critiques avec une logique de paiement aux résultats. Pas de vulnérabilités = pas de dépenses, vous ne récompensez que les résultats exploitables.
Expert en cybersécurité, Yogosha aide les éditeurs de logiciels à renforcer la protection de leurs systèmes d’information et de leurs produits. Notre VOC (Vulnerability Operations Center) vous permet de mettre en place des opérations de PtaaS et de Bug Bounty, et de les piloter facilement depuis une plateforme dédiée.
Grâce à Yogosha, améliorez la sécurité numérique de vos logiciels et de votre SI afin de prévenir les attaques. Contactez-nous !