L’ENISA s’inquiète d’une baisse des budgets cyber

Une récente enquête de l’ENISA, réalisée auprès de plus d’un millier d’opérateurs de services essentiels et de fournisseurs de services numériques de l’Union européenne, montre une baisse de la part des budgets IT consacrée à la cybersécurité, passée entre 2020 et 2021 de 7,7 % à 6,7 % en médiane.

Cela ne signifie pas toujours que les budgets cyber ont baissé en valeur absolue (si le budget IT total a augmenté, le budget cyber a suivi cette croissance), mais révèle un relatif (et inquiétant) désintérêt pour les investissements en cybersécurité, en particulier des plus petites organisations.

Or, comme le rappelle Juhan Lepassaar, patron de l’ENISA, « la résilience de nos infrastructures et technologies critiques dépendra fortement de notre capacité à réaliser des investissements stratégiques ». Le coût médian d’un incident en cybersécurité a d’ailleurs bondi à 200 000 euros en 2021, le double comparé à 2020.

En matière de typologie des risques, l’exploitation de vulnérabilités logicielles ou matérielles est la cause principale des incidents de sécurité pour 69 % des répondants.

Or trop d’organisations tardent encore à corriger les vulnérabilités critiques. Seuls 46 % des opérateurs les patchent en moins d’un mois, et, six mois après la découverte d’une faille critique, 8 % des organisations n’ont toujours pas appliqué de correctifs.

L’ENISA pointe enfin une baisse du recours à l’assurance cyber, passé de 43 % des organisations en 2020 à seulement 30 % en 2021, notamment à cause d’une hausse des primes. Dans ce domaine, « l’écart est très marqué entre les grandes entreprises et les PME », souligne l’ENISA, qui invite les assureurs à développer des offres adaptées aux plus petites entreprises.