Sécurité de l'information dans les industries. Combien coûte la sécurité de l'information d'une entreprise Informations générales et méthodologie de recherche

Selon le contexte, le terme "sécurité de l'information" est utilisé dans différentes significations. Dans son sens le plus large, le concept implique la protection des informations confidentielles, du processus de production, de l'infrastructure de l'entreprise contre des actions intentionnelles ou accidentelles entraînant des dommages financiers ou une perte de réputation.

Principes de sécurité de l'information

Dans n'importe quelle industrie principe de base de la sécurité de l'information est d'équilibrer les intérêts du citoyen, de la société et de l'État. La difficulté de maintenir un équilibre réside dans le fait que les intérêts de la société et du citoyen s'opposent souvent. Un citoyen cherche à garder secrets les détails de sa vie personnelle, ses sources et son niveau de revenus, ses mauvaises actions. La société, au contraire, est intéressée à « déclassifier » les informations sur les revenus illégaux, les faits de corruption et les actes criminels. L'État crée et gère un mécanisme de restriction qui protège les droits d'un citoyen à la non-divulgation des données personnelles et en même temps réglemente les relations juridiques liées à la divulgation des crimes et à la traduction des auteurs en justice.

Importance dans conditions modernes principe juridique la sécurité de l'information gagne lorsque le support réglementaire ne suit pas le développement de l'industrie de la sécurité de l'information. Les lacunes de la législation permettent non seulement d'éviter la responsabilité de la cybercriminalité, mais entravent également l'introduction de technologies avancées de protection des données.

Le principe de mondialisation , ou l'intégration des systèmes de sécurité de l'information touche tous les secteurs : politique, économique, culturel. Le développement de systèmes de communication internationaux nécessite une sécurité constante des données.

Selon principe d'opportunité économique , l'efficacité des mesures de sécurité de l'information doit égaler ou dépasser les ressources dépensées. Le coût irrécupérable de la maintenance d'un système de sécurité ne fait que nuire au progrès.

Principe de flexibilité des systèmes la protection de l'information signifie l'élimination de toute restriction de régime qui empêche la génération et la mise en œuvre de nouvelles technologies.

Une réglementation stricte des informations confidentielles plutôt qu'ouvertes implique principe de non-secret .

Plus différents outils de sécurité matériels et logiciels sont utilisés pour protéger les données, plus les attaquants ont besoin de connaissances et de compétences polyvalentes pour découvrir les vulnérabilités et contourner la protection. Vise à renforcer la sécurité de l'information principe de diversité mécanismes de protection des systèmes d'information.

Le principe de la simplicité d'utilisation système de sécurité repose sur l'idée que plus le système de sécurité de l'information est complexe, plus il est difficile de vérifier la cohérence des composants individuels et de mettre en place une administration centrale.

La clé d'une attitude loyale du personnel envers la sécurité de l'information est une formation constante aux règles de sécurité de l'information et des explications claires sur les conséquences du non-respect des règles jusqu'à la faillite de l'entreprise. Principe de fidélité des administrateurs de la sécurité des données et de l'ensemble du personnel de l'entreprise associent la sécurité à la motivation des employés. Si les employés, ainsi que les sous-traitants et les clients perçoivent la sécurité de l'information comme un phénomène inutile, voire hostile, même les systèmes les plus puissants ne peuvent garantir la sécurité de l'information dans une entreprise.

Les principes énumérés constituent la base pour assurer la sécurité de l'information dans toutes les industries, qui est complétée par des éléments en fonction des spécificités de l'industrie. Prenons les exemples du secteur bancaire, de l'énergie et des médias.

Banques

Le développement des technologies de cyberattaque oblige les banques à introduire de nouveaux systèmes de sécurité de base et à les améliorer constamment. L'objectif du développement de la sécurité de l'information dans le secteur bancaire est de développer de telles solutions technologiques qui peuvent sécuriser les ressources d'information et assurer l'intégration des derniers produits informatiques dans les processus commerciaux clés des institutions financières et de crédit.

Les mécanismes de sécurité de l'information des institutions financières sont construits conformément aux conventions et accords internationaux ratifiés, ainsi qu'aux lois et normes fédérales. Les lignes directrices dans le domaine de la sécurité de l'information pour les banques russes sont les suivantes :

  • Norme de la Banque de Russie STO BR IBBS-1.0-2010 "Assurer la sécurité des informations des organisations du système bancaire Fédération Russe»;
  • Loi fédérale n° 161 "sur le système national de paiement" ;
  • Loi fédérale n° 152 "sur les données personnelles" ;
  • Norme de sécurité des données de l'industrie des cartes de paiement PCI DSS et autres documents.

La nécessité de suivre différentes lois et normes est due au fait que les banques effectuent de nombreuses opérations différentes, mènent des activités dans différents domaines qui nécessitent leurs propres outils de sécurité. Par exemple, assurer la sécurité de l'information dans la banque à distance (RBS) passe par la création d'une infrastructure de sécurité, qui comprend des moyens de protection des applications bancaires et de contrôle des flux de données. surveiller les transactions bancaires et enquêter sur les incidents. La protection multi-composante des ressources informationnelles assure la minimisation des menaces liées à la fraude lors de l'utilisation des services RBS, ainsi que la protection de la réputation de la banque.

Sécurité des informations Le secteur bancaire, comme d'autres industries, dépend du personnel. La particularité de la sécurité de l'information dans les banques est l'attention accrue portée aux spécialistes de la sécurité au niveau du régulateur. Au début de 2017, la Banque de Russie en collaboration avec le ministère du Travail et de la Protection sociale avec la participation du FSTEC, le ministère de l'Éducation et des Sciences pour les spécialistes de la sécurité de l'information.

Comment mener correctement un audit de sécurité de l'information dans une banque ?

Énergie

Le complexe énergétique est l'une des industries stratégiques qui nécessitent des mesures spéciales pour assurer la sécurité de l'information. S'il existe suffisamment d'outils de sécurité de l'information standard sur les lieux de travail des administrations et des départements, la protection dans les domaines technologiques de la production d'énergie et de la livraison aux utilisateurs finaux nécessite un contrôle accru. L'objet principal de la protection dans le secteur de l'énergie n'est pas l'information, mais le processus technologique. Dans ce cas, le système de sécurité doit garantir l'intégrité du processus et des systèmes de contrôle automatisés. Par conséquent, avant de mettre en œuvre des mécanismes de sécurité de l'information dans les entreprises du secteur de l'énergie, les experts étudient :

  • l'objet de la protection est le procédé technologique;
  • appareils utilisés dans le secteur de l'énergie (télémécanique);
  • facteurs liés ( protection relais, automatisation, comptabilité énergétique).

L'importance de la sécurité de l'information dans le secteur de l'énergie est déterminée par les conséquences de la mise en œuvre des cybermenaces liées à l'information. Il ne s'agit pas seulement de dommages matériels ou d'atteinte à la réputation, mais surtout de dommages à la santé des citoyens, de dégradation de l'environnement, de violation de l'infrastructure d'une ville ou d'une région.

La conception d'un système de sécurité de l'information dans le secteur de l'énergie commence par la prévision et l'évaluation des risques de sécurité. La principale méthode d'évaluation est la modélisation des menaces possibles, qui permet d'allouer rationnellement les ressources lors de l'organisation d'un système de sécurité et d'empêcher la mise en œuvre de cybermenaces. De plus, l'évaluation des risques de sécurité dans le secteur de l'énergie est continue : des audits pendant le fonctionnement du système sont effectués en permanence afin de modifier les paramètres en temps opportun pour assurer le degré de protection maximal et maintenir le système à jour.

Médias de masse

La tâche principale de la sécurité de l'information dans les médias est de protéger les intérêts nationaux, y compris les intérêts des citoyens, de la société et de l'État. L'activité des médias dans les conditions modernes est réduite à la création de flux d'informations sous la forme de nouvelles et de matériel journalistique qui sont reçus, traités et diffusés aux utilisateurs finaux : lecteurs, téléspectateurs, visiteurs du site Web.

La garantie et le contrôle de la sécurité dans le domaine des médias de masse sont mis en œuvre dans plusieurs domaines et comprennent :

  • élaboration de recommandations sur les procédures anti-crise en cas de réalisation de la menace d'une attaque informatique ;
  • programmes de formation sur la sécurité de l'information pour les employés des rédactions des médias, des services de presse, des services de relations publiques ;
  • administration externe temporaire d'organisations ayant subi une attaque informatique.

Un autre problème de sécurité de l'information dans les médias est la partialité. Pour assurer une couverture objective des événements, un mécanisme de protection est nécessaire pour protéger les journalistes des pressions des représentants du gouvernement, de la direction et / ou du propriétaire des médias, et en même temps - assurer les structures commerciales honnêtes contre les actions des représentants des médias malhonnêtes.

Une autre pierre angulaire de la sécurité de l'information des médias est la restriction de l'accès aux données. Le problème est que restreindre l'accès à l'information afin de prévenir les menaces d'information ne devient pas une « couverture » pour la censure. Une solution qui rendra le travail des médias plus transparent et aidera à éviter de nuire aux intérêts de la sécurité nationale est contenue dans le projet de Convention sur l'accès aux ressources d'information, qui attend un vote au sein de l'Union européenne. Les normes du document supposent que l'État offre un accès égal à tous les documents officiels en créant des registres appropriés sur Internet et fixe des restrictions d'accès qui ne peuvent pas être modifiées. Il n'y a que deux exceptions qui vous permettront d'annuler les restrictions d'accès aux ressources d'information :

  • bien public, ce qui implique la possibilité de publier même les données qui ne font pas l'objet d'une diffusion dans des conditions normales ;
  • intérêt national si la dissimulation d'informations nuisait à l'État.

Secteur privé

Avec le développement d'une économie de marché, la croissance et le durcissement de la concurrence, la réputation de l'entreprise devient une partie indissociable des actifs immatériels. La formation et la préservation d'une image positive dépendent directement du niveau de sécurité de l'information. Il y a aussi une rétroaction lorsque l'image actuelle de l'entreprise sur le marché sert de garantie de sécurité de l'information. Avec cette approche, il existe trois types de réputation commerciale :

1. L'image d'une organisation "inutile", dont les ressources informationnelles ne présentent aucun intérêt, car elles ne peuvent être utilisées au détriment ou au profit d'un tiers.

2. Image d'un adversaire fort, dont la sécurité est "plus chère à menacer". Le brouillage des frontières des opportunités pour repousser une attaque informatique contribue à entretenir la réputation d'un adversaire redoutable : plus il est difficile de comprendre le potentiel de la protection de l'information, plus l'entreprise paraît imprenable aux yeux des attaquants.

3. L'image d'une organisation « utile ». Si un agresseur potentiel s'intéresse à la viabilité de l'entreprise, au lieu d'une attaque informatique, le dialogue et la formation d'une politique commune de sécurité de l'information sont possibles.

Chaque entreprise organise ses activités en respectant les normes de la loi et en s'efforçant d'atteindre ses objectifs. Des critères similaires s'intégreront également dans l'élaboration d'une politique de sécurité de l'information, la mise en œuvre et l'exploitation de systèmes de sécurité internes pour les données confidentielles et les ressources informatiques. Pour assurer le plus haut niveau possible de sécurité de l'information dans une organisation après la mise en place de systèmes de protection, il est nécessaire de surveiller, reconfigurer et mettre à jour systématiquement les composants de sécurité si nécessaire.

Protection des informations des objets stratégiques

Début 2017, la Douma d'État de la Fédération de Russie a adopté en première lecture un ensemble de projets de loi relatifs à la sécurité de l'information et à l'infrastructure d'information critique du pays.

Les principales sources de menaces d'information dans la sphère militaire de la Fédération de Russie.

Leonid Levin, président de la commission parlementaire sur la politique de l'information, les technologies de l'information et les communications, lors de la présentation des projets de loi, a mis en garde contre une augmentation du nombre de cyberattaques contre des objets d'importance stratégique. Lors d'une réunion du comité, le porte-parole du FSB, Nikolai Murashov, a déclaré que 70 millions de cyberattaques avaient été menées contre des installations en Russie au cours de l'année. Parallèlement aux menaces croissantes d'attaques externes, l'ampleur, la complexité et la coordination des attaques d'informations à l'intérieur du pays augmentent.

Les projets de loi adoptés par les parlementaires créent une base juridique pour fournir des informations dans le domaine des infrastructures critiques nationales et des industries individuelles. En outre, les projets de loi prescrivent les pouvoirs des organes de l'État dans le domaine de la sécurité de l'information et prévoient une responsabilité pénale plus sévère en cas de violation de la sécurité de l'information.

Comme déjà noté, la sécurité d'une entreprise est assurée par un ensemble de mesures à toutes les étapes de son cycle de vie, de son système d'information et, dans le cas général, elle se compose du coût :

  • - travaux de conception ;
  • - les achats et paramétrages des moyens logiciels et matériels de protection ;
  • - les frais de sécurité physique ;
  • - la formation du personnel;
  • - la gestion et le support du système ;
  • - audit de la sécurité de l'information ;
  • - la modernisation périodique du système de sécurité de l'information, etc.

L'indicateur de coût de l'efficacité économique d'un système intégré de sécurité de l'information sera la somme des coûts directs et indirects pour l'organisation, le fonctionnement et la maintenance du système de sécurité de l'information au cours de l'année.

Il peut être considéré comme essentiel indicateur quantitatif l'efficacité de l'organisation de la protection des informations dans l'entreprise, car elle permettra non seulement d'estimer les coûts totaux de la protection, mais aussi de gérer ces coûts pour atteindre le niveau de sécurité requis pour l'entreprise. Cependant, les coûts directs comprennent à la fois les composantes des coûts en capital et les coûts de main-d'œuvre, qui sont comptabilisés dans les opérations et l'administration. Cela comprend également les coûts des services aux utilisateurs distants, etc., associés au soutien des activités de l'organisation.

À leur tour, les coûts indirects reflètent l'impact du système de sécurité intégré et du sous-système de protection des informations sur les employés par le biais d'indicateurs mesurables tels que les temps d'arrêt et les « gels » système d'entreprise la protection des informations et un système de sécurité intégré dans son ensemble, le coût des opérations et du support.

Très souvent, les coûts indirects jouent un rôle important, car ils ne sont généralement pas initialement reflétés dans le budget d'un système de sécurité intégré, mais sont clairement identifiés ultérieurement dans l'analyse des coûts, ce qui conduit finalement à une augmentation des coûts «cachés» du système. entreprise. Réfléchissez à la façon dont vous pouvez déterminer les coûts directs et indirects d'un système de sécurité intégré. Supposons que la direction de l'entreprise travaille à la mise en œuvre d'un système intégré de sécurité de l'information dans l'entreprise. Les objets et les buts de la protection, les menaces à la sécurité de l'information et les mesures pour les contrer ont déjà été déterminés, les moyens nécessaires de protection de l'information ont été acquis et installés.

En règle générale, les coûts de sécurité de l'information entrent dans les catégories suivantes :

  • - les coûts de formation et de maintenance du lien de gestion du système de sécurité de l'information ;
  • - le coût du contrôle, c'est-à-dire la détermination et la confirmation du niveau atteint de protection des ressources de l'entreprise ;
  • - les coûts internes d'élimination des conséquences des failles de sécurité de l'information - les coûts supportés par l'organisation du fait que le niveau de sécurité requis n'a pas été atteint ;
  • -coûts externes d'élimination des conséquences des violations de la sécurité de l'information - compensation des pertes en cas de violation de la politique de sécurité dans les cas liés à la fuite d'informations, à la perte d'image de l'entreprise, à la perte de confiance des partenaires et des consommateurs, etc. ;
  • - le coût de maintenance du système de sécurité de l'information et des mesures visant à prévenir les violations de la politique de sécurité de l'entreprise.

Dans ce cas, les coûts ponctuels et systématiques sont généralement distingués.

Coûts ponctuels pour la formation de la sécurité de l'entreprise: coûts d'organisation et coûts d'achat et d'installation d'équipements de protection.

Coûts systématiques, d'exploitation et d'entretien. La classification des coûts est conditionnelle, car la collecte, la classification et l'analyse des coûts de sécurité de l'information sont une activité interne des entreprises et l'élaboration détaillée de la liste dépend des caractéristiques d'une organisation particulière.

L'essentiel pour déterminer le coût d'un système de sécurité est la compréhension mutuelle et l'accord sur les postes de dépenses au sein de l'entreprise.

De plus, les catégories de coûts doivent être cohérentes et ne doivent pas se chevaucher. Les coûts de sécurité ne peuvent pas être complètement éliminés, mais ils peuvent être ramenés à un niveau acceptable.

Certains types de coûts de sécurité sont absolument nécessaires, et certains peuvent être considérablement réduits ou éliminés. Ces dernières sont celles qui peuvent disparaître en l'absence de failles de sécurité ou diminuer si le nombre et l'impact destructeur des failles diminuent.

Si la sécurité est respectée et que les violations sont évitées, les coûts suivants peuvent être éliminés ou considérablement réduits :

  • - de remettre le système de sécurité en conformité avec les exigences de sécurité ;
  • - restaurer les ressources de l'environnement informatique de l'entreprise ;
  • - pour des modifications à l'intérieur du système de sécurité ;
  • - sur les litiges et le paiement des indemnités ;
  • - d'identifier les causes des failles de sécurité.

Les coûts nécessaires sont ceux qui sont nécessaires même si le niveau des menaces de sécurité est suffisamment faible. Il s'agit des coûts de maintien du niveau de sécurité atteint de l'environnement informatique de l'entreprise.

Les coûts inévitables peuvent inclure :

  • a) maintenance des moyens techniques de protection ;
  • b) travail de bureau confidentiel;
  • c) exploitation et audit du système de sécurité ;
  • d) le niveau minimum d'inspections et de contrôle avec l'implication d'organismes spécialisés ;
  • e) formation du personnel aux méthodes de sécurité de l'information.

Cependant, il existe d'autres coûts qui sont difficiles à déterminer. Parmi eux:

  • a) le coût de la recherche et du développement supplémentaires d'une nouvelle stratégie de marché ;
  • b) les pertes résultant de l'abaissement de la priorité dans recherche scientifique et l'impossibilité de breveter et de vendre des licences pour les réalisations scientifiques et technologiques ;
  • c) les coûts associés à l'élimination des « goulots d'étranglement » dans l'approvisionnement, la production et la commercialisation des produits ;
  • d) les pertes résultant de la compromission des produits fabriqués par l'entreprise et de la réduction de leurs prix ;
  • e) la survenance de difficultés d'acquisition d'équipements ou de technologies, y compris une augmentation de leur prix, limitant le volume des fournitures.

Les coûts indiqués peuvent être causés par les actions du personnel de divers départements, par exemple, la conception, la technologie, la planification et le département économique, juridique, économique, marketing, la politique tarifaire et la tarification.

Étant donné qu'il est peu probable que tous ces départements soient occupés à plein temps à gérer des pertes externes, les coûts doivent être basés sur le temps réel passé. L'un des éléments des pertes externes ne peut pas être calculé avec précision - il s'agit de pertes associées à la dégradation de l'image de l'entreprise, à la réduction de la confiance des consommateurs dans les produits et services de l'entreprise. C'est pour cette raison que de nombreuses entreprises cachent que leur service n'est pas sûr. Les entreprises craignent encore plus la divulgation de telles informations que les attaques sous une forme ou une autre.

Cependant, de nombreuses entreprises ignorent ces coûts au motif qu'ils ne peuvent être déterminés avec précision - ils ne sont que spéculatifs. Frais de prévention. Ces coûts sont probablement les plus difficiles à estimer, car les actions de prévention sont menées dans différents départements et touchent de nombreux services. Ces coûts peuvent apparaître à toutes les étapes du cycle de vie des ressources de l'environnement d'information de l'entreprise :

  • - planification et organisation;
  • - acquisition et mise en service ;
  • - livraison et assistance ;
  • - la surveillance des processus constitutifs de l'informatique.

De plus, la plupart des coûts de cette catégorie sont associés au travail du personnel de sécurité. Les coûts de prévention comprennent principalement les salaires et les frais généraux. Cependant, la précision de leur détermination dépend dans une plus large mesure de la précision de l'établissement du temps passé par chaque employé individuellement. Certains coûts préventifs sont faciles à identifier directement. Ils peuvent notamment comprendre le paiement de divers travaux de tiers, par exemple :

  • - maintenance et configuration des outils logiciels et matériels de protection, systèmes d'exploitation et équipement de réseau utilisé ;
  • - la réalisation de travaux d'ingénierie et techniques pour mettre en place un système d'alarme, équiper le stockage de documents confidentiels, protéger les lignes téléphoniques, le matériel informatique, etc. ;
  • - livraison d'informations confidentielles ;
  • - consultations ;
  • - des stages de formation.

Sources d'information sur les coûts considérés. Lors de la détermination des coûts de la sécurité de l'information, il est nécessaire de se rappeler que :

  • - le coût d'acquisition et de mise en service des logiciels et du matériel peut être obtenu à partir de l'analyse des factures, des enregistrements dans la documentation de l'entrepôt, etc. ;
  • - les rémunérations du personnel peuvent être déduites des relevés ;
  • - montant des versements les salaires doit être pris en compte en tenant compte du temps réel consacré à l'exécution du travail pour assurer la sécurité de l'information, si seulement une partie du temps de l'employé est consacrée à des activités pour assurer la sécurité de l'information, alors l'opportunité d'évaluer chacune des composantes du coût de son temps ne doit pas être remis en question ;
  • - la classification des coûts de sécurité et leur répartition par éléments doivent faire partie du travail quotidien au sein de l'entreprise.
2018-08-21T12:03:34+00:00

Les grandes entreprises commerciales dépensent environ 1 % de leur chiffre d'affaires annuel pour assurer la sécurité physique de leur entreprise. La sécurité d'entreprise est la même ressource que la technologie et les moyens de production. Mais quand il s'agit de protection numérique données et services, il devient difficile de calculer les risques financiers et les coûts nécessaires. Nous vous disons quel budget informatique est raisonnable à allouer à la cybersécurité, s'il existe un ensemble minimum d'outils dont on peut se passer.

Les coûts de la sécurité de l'information augmentent

Les organisations commerciales du monde entier, selon rapport Gartner a dépensé environ 87 milliards de dollars en cybersécurité en 2017, y compris des logiciels, des services spécialisés et du matériel. C'est 7% de plus qu'en 2016. Cette année, le chiffre devrait atteindre 93 milliards, et l'année prochaine, il franchira la barre des 100.

Selon les experts, le volume du marché des services de sécurité de l'information en Russie est d'environ 55 à 60 milliards de roubles (environ 900 000 dollars). Les 2/3 de celui-ci sont fermés sur ordre de l'Etat. Dans le secteur des entreprises, la part de ces coûts dépend fortement de la forme de l'entreprise, de la géographie et du domaine d'activité.

Banques et institutions financières nationales en moyenne investir dans leur cybersécurité 300 millions de roubles par an, les industriels - jusqu'à 50 millions, les entreprises de réseau (commerce de détail) - de 10 à 50 millions.

D'autre part, les chiffres de la croissance du marché russe de la cybersécurité depuis plusieurs années sont 1,5 à 2 fois plus élevés qu'à l'échelle mondiale. En 2017, la croissance était de 15% (en termes d'argent des clients) par rapport à 2016. Fin 2018, il pourrait s'avérer encore plus solide.

Les taux de croissance élevés s'expliquent par la reprise générale du marché et l'attention fortement accrue des organisations à la sécurité réelle de leur infrastructure informatique et à l'intégrité des données. Les coûts de construction d'un système de sécurité de l'information sont désormais considérés comme des investissements, ils sont planifiés à l'avance, et non plus seulement pris sur une base résiduelle.

Technologies positivespoints forts trois relais de croissance :

  1. Les incidents très médiatisés des 1,5 à 2 dernières années ont conduit au fait qu'aujourd'hui seuls les paresseux ne comprennent pas le rôle de la sécurité de l'information pour la stabilité financière d'une entreprise. Un top manager sur cinq s'intéresse à la sécurité pratique dans le cadre de son activité.

L'année écoulée a été instructive pour les entreprises qui ont ignoré les . Le manque de mises à jour et l'habitude de travailler sans prêter attention aux vulnérabilités ont conduit à l'arrêt des usines Renault en France, Honda et Nissan au Japon ; les banques, les entreprises d'énergie et de télécommunications ont souffert. Pour Maersk, par exemple, cela a coûté 300 millions de dollars à la fois.

  1. Les épidémies de rançongiciels WannaCry, NotPetya et Bad Rabbit ont appris aux entreprises nationales qu'il ne suffit pas d'installer des antivirus et des pare-feu pour se sentir en sécurité. Nous avons besoin d'une stratégie globale, d'un inventaire de nos actifs informatiques, de ressources dédiées, d'une stratégie de réponse aux menaces.
  2. D'une certaine manière, le ton est donné par l'État, qui a annoncé un cap vers une économie numérique, couvrant tous les domaines (de la santé et l'éducation aux transports et à la finance). Cette politique affecte directement la croissance du secteur informatique en général et de la sécurité de l'information en particulier.

Le prix des vulnérabilités dans la protection des informations

Tout cela est instructif, mais chaque entreprise est une histoire unique. La question du montant à consacrer à la sécurité de l'information par rapport au budget informatique total de l'entreprise, bien qu'inexacte, est, du point de vue du client, la plus urgente.

La société de recherche internationale IDC sur l'exemple du marché canadien appels optimal 9,8-13,7% d'investissement dans la cybersécurité du budget informatique total de l'organisation. C'est-à-dire que les entreprises canadiennes dépensent actuellement en moyenne environ 10 % pour ces besoins (on pense qu'il s'agit d'un indicateur d'une entreprise saine), mais aimeraient, à en juger par les sondages, plus près de 14 %.

Cela n'a aucun sens pour les entreprises de deviner combien elles doivent dépenser pour la sécurité de leurs informations afin de se sentir sereines. Aujourd'hui, évaluer les risques d'incidents de cybersécurité n'est pas plus difficile que de calculer les pertes dues aux menaces physiques. Il existe un monde statistiques , selon lequel:

  • Les attaques de pirates informatiques coûtent à l'économie mondiale plus de 110 milliards de dollars par an.
  • Pour les petites entreprises, chaque incident coûte en moyenne 188 000 $.
  • 51 % des piratages en 2016 étaient ciblés, c'est-à-dire organisés par des groupes criminels contre une entreprise spécifique.
  • 75% des attentats ont pour but de causer des dégâts matériels, motivés financièrement.

Au printemps 2018, Kaspersky Lab a organisé sa grandeétudier . Selon une enquête menée auprès de 6 000 spécialistes d'entreprises du monde entier, les dommages causés par les piratages de réseaux d'entreprise et les fuites de données ont augmenté de 20 à 30 % au cours des deux dernières années.

Le coût moyen des dommages en février 2018 pour les organisations commerciales, quelle que soit leur taille, leur domaine d'activité, s'élevait à 1,23 million de dollars. Pour les PME, une erreur humaine ou une action de piratage réussie coûte 120 000 $.

Étude de faisabilité pour la sécurité de l'information

Afin d'évaluer correctement les ressources financières nécessaires à l'organisation de la sécurité de l'information dans une entreprise, il est nécessaire d'établir une étude de faisabilité.

  1. Nous réalisons un état des lieux de l'infrastructure informatique et évaluons les risques, dressons une liste des vulnérabilités par ordre décroissant de leur importance. Cela comprend également les pertes de réputation (croissance des taux d'assurance, baisse de la cote de crédit, coût des temps d'arrêt du service), le coût de la restauration du système (mises à jour matérielles et logicielles).
  2. Nous prescrivons les tâches que le système de sécurité de l'information doit résoudre.
  3. Nous sélectionnons l'équipement, les outils pour résoudre les problèmes, déterminons son coût.

Si l'entreprise n'a pas les compétences nécessaires pour évaluer les menaces et les risques en matière de cybersécurité, vous pouvez toujours commander un audit de sécurité de l'information en parallèle. Aujourd'hui, cette procédure est courte, peu coûteuse et indolore.

Entreprises industrielles avec un haut niveau d'experts en automatisation de processus recommander utiliser le modèle d'architecture de sécurité adaptative (Architecture de sécurité adaptative) proposé en 2014 par Gartner. Il vous permet de redistribuer correctement les coûts de la sécurité de l'information, en accordant plus d'attention aux outils de détection et de réponse aux menaces, et implique la mise en place d'un système de surveillance et d'analyse de l'infrastructure informatique.

Combien coûte la cybersécurité pour les petites entreprises

Les auteurs du blog Capterra ont décidé calculer , combien coûte en moyenne un système de sécurité de l'information pour les petites et moyennes entreprises au cours de la première année d'utilisation. Pour cela, il a été choisi liste de 50 offres « en boîte » populaires sur le marché.

Il s'est avéré que la fourchette de prix est assez large : de 50 $ par an (il existe même 2-3 solutions gratuites pour les petites entreprises) à 6 000 $ (il existe des forfaits simples et 24 000 chacun, mais ils n'ont pas été inclus dans le calcul). En moyenne, une petite entreprise peut s'attendre à 1 400 $ pour construire un système de cyberdéfense de base.

Les solutions techniques telles que le VPN professionnel ou la sécurité seront les moins chères E-mail, ce qui contribuera à vous protéger contre des types de menaces spécifiques (par exemple, l'hameçonnage)

À l'autre extrémité du spectre, des systèmes de surveillance à part entière avec une réponse aux événements "avancée" et des outils de protection complets sont présentés. Ils aident à protéger le réseau de l'entreprise contre les attaques à grande échelle et leur permettent même parfois de prévoir leur apparition et de les arrêter à un stade précoce.

L'entreprise peut choisir plusieurs modèles de paiement pour le système de sécurité de l'information :

  • Prix ​​par licence. Le prix moyen est de 1 000 $ à 2 000 $, ou de 26 $ à 6 000 $ par licence.
  • Prix ​​par utilisateur. Le coût moyen d'un système de sécurité de l'information par utilisateur dans une entreprise est de 37 $, l'écart varie de 4 $ à 130 $ par personne et par mois.
  • Prix ​​par appareil connecté. Le coût moyen de ce modèle est de 2,25 $ par appareil. Le prix varie de 0,96 $ à 4,5 $ par mois.

Pour calculer correctement le coût de la sécurité de l'information, même une petite entreprise devra mettre en œuvre les bases de la gestion des risques. Le tout premier incident (site, service, système de paiement en panne), qui ne peut être réparé en une journée, peut entraîner la fermeture de l'entreprise.

Annotation: La conférence aborde les tâches et les méthodes d'analyse économique de la faisabilité de la mise en œuvre de mesures pour assurer la sécurité de l'information dans certaines conditions.

Fondements méthodologiques de l'économie de la sécurité de l'information

Gestion de la sécurité de l'information, ainsi que la gestion dans de nombreux autres domaines d'activité, implique l'adoption périodique de diverses décisions de gestion qui, en règle générale, consistent à choisir certaines alternatives (choisir l'un des schémas d'organisation possibles ou l'une des solutions techniques disponibles) ou à déterminer certains paramètres d'organisation individuelle et/ou systèmes techniques et sous-systèmes. L'une des approches possibles du choix des alternatives dans une situation de prise de décision managériale est la soi-disant. approche «volontaire», lorsqu'une décision est prise intuitivement pour une raison ou une autre, et qu'une relation causale formellement étayée entre certaines prémisses initiales et une décision spécifique ne peut être établie. Il est évident qu'une alternative à l'approche "volontaire" est la prise de décision basée sur certaines procédures formelles et analyse séquentielle.

La base de cette analyse et les suivantes la prise de décision est l'analyse économique, qui implique l'étude de tous (ou du moins des principaux) facteurs sous l'influence desquels se produit le développement des systèmes analysés, les modèles de leur comportement, la dynamique du changement, ainsi que l'utilisation d'un valeur monétaire. C'est sur la base de modèles économiques bien construits et de l'analyse économique menée avec leur concours que doivent être prises les décisions concernant tant la stratégie générale de développement que les mesures organisationnelles et techniques individuelles, tant au niveau des États, des régions et des industries, qu'au niveau au niveau des entreprises individuelles, des divisions et des systèmes d'information.

En même temps, tout comme l'économie de toute branche d'activité a ses propres caractéristiques, l'économie de la sécurité de l'information, considérée comme une discipline relativement indépendante, d'une part, repose sur des lois économiques générales et des méthodes d'analyse, et d'autre part, il nécessite une compréhension individuelle, le développement d'approches d'analyse spécifiques, l'accumulation de données statistiques spécifiques à ce domaine, la formation d'idées stables sur les facteurs sous l'influence desquels Systèmes d'information et outils de sécurité de l'information.

La complexité des tâches d'analyse économique dans presque tous les domaines d'activité est généralement due au fait que de nombreux paramètres clés des modèles économiques ne peuvent pas être estimés de manière fiable et qu'ils sont de nature probabiliste (comme, par exemple, indicateurs de la demande des consommateurs). L'analyse est également compliquée par le fait que même de petites fluctuations (correction des estimations) de ces paramètres peuvent sérieusement affecter les valeurs de la fonction objectif et, par conséquent, les décisions prises sur la base des résultats de l'analyse. Ainsi, afin d'assurer la plus grande fiabilité possible des calculs dans le processus d'analyse économique et de la prise de décision il est nécessaire d'organiser un ensemble de travaux pour collecter les informations initiales, calculer les valeurs prédictives, interroger des experts dans différents domaines et traiter toutes les données. Dans le même temps, lors de la réalisation d'une telle analyse, il est nécessaire de prêter attention à Attention particulière les décisions intermédiaires concernant les estimations de certains paramètres inclus dans modèle général. Il faut également tenir compte du fait qu'une telle analyse elle-même peut s'avérer être une procédure plutôt gourmande en ressources et nécessiter l'intervention de spécialistes supplémentaires et de consultants tiers, ainsi que les efforts de divers spécialistes (experts) travaillant dans l'entreprise elle-même - tous ces coûts devront finalement être justifiés.

La complexité particulière de l'analyse économique dans un domaine comme Sécurité des informations, est déterminé par des facteurs spécifiques tels que :

  • l'évolution rapide des technologies de l'information et des méthodes utilisées dans ce domaine (moyens et méthodes de protection, moyens et méthodes d'attaque) ;
  • l'incapacité à prédire de manière fiable tous les scénarios possibles d'une attaque contre les systèmes d'information et les comportements des attaquants ;
  • l'incapacité de donner une évaluation fiable et suffisamment précise du coût des ressources d'information, ainsi que d'évaluer les conséquences de diverses violations en termes monétaires.

Cela nécessite des efforts supplémentaires pour organiser le processus d'analyse économique et conduit souvent au fait que de nombreuses décisions prises en matière de sécurité de l'information peuvent s'avérer inadéquates. Des exemples de situations dans lesquelles le sous-développement de la méthodologie d'analyse économique affecte négativement l'état de la sécurité de l'information peuvent être des cas où :

  • la direction de l'entreprise peut prendre des décisions inappropriées concernant les investissements dans les outils de sécurité de l'information, ce qui, à son tour, peut entraîner des pertes qui auraient pu être évitées ;
  • la direction de l'entreprise peut prendre certaines décisions concernant l'organisation des processus métier et des processus de traitement de l'information dans l'entreprise, sur la base de la volonté de réduire les coûts actuels et de réduire la charge du personnel, sans tenir compte des conséquences économiques d'une sécurité insuffisante des ressources d'information;
  • l'assuré et l'assureur ne peuvent pas conclure un contrat d'assurance contre les risques d'information ou fixer des paramètres inadéquats pour un tel contrat en raison de l'absence de modèles et de méthodes d'évaluation des paramètres économiques de la transaction.

Analyse des investissements dans les outils de sécurité de l'information

Dans le cadre de leurs activités courantes, les entreprises doivent constamment faire face à certaines évolutions : les processus métiers s'affinent, les conditions du marché et les marchés des ressources matérielles consommées et des services évoluent, de nouvelles technologies émergent, les concurrents et les donneurs d'ordre changent de comportement, la législation et la politique gouvernementale changent, etc. d. Dans ces conditions, les managers (y compris ceux chargés d'assurer la sécurité de l'information) doivent constamment analyser les changements en cours et adapter leur travail à la situation en constante évolution. Les formes spécifiques sous lesquelles se manifeste la réaction des dirigeants peuvent être différentes. Il peut s'agir d'un changement de politique marketing, d'une réorganisation des processus métiers, d'un changement de technologie, d'un changement de produit, d'une fusion avec des concurrents ou de leur absorption, etc. Cependant, avec toute la variété des modèles de comportement possibles dans un environnement changeant, presque tous sont unis par un élément méthodologique important qui leur est commun : dans la plupart des cas, la réaction des entreprises aux nouvelles menaces et aux nouvelles opportunités implique la mise en œuvre de nouvelles , des investissements à plus ou moins long terme et gourmands en ressources (investissements) dans certaines mesures organisationnelles et/ou techniques qui, d'une part, impliquent une dépense de ressources ( De l'argent), et d'autre part, ils offrent la possibilité d'obtenir de nouveaux avantages, se traduisant par une augmentation des revenus ou une réduction de certaines dépenses courantes.

Ainsi, dans une situation où il est nécessaire de prendre de nouvelles mesures organisationnelles ou techniques (réalisation d'un projet), la tâche principale des responsables de l'organisation efficace de la sécurité de l'information est de bien corréler les coûts qui devront être engagés pour lien avec la mise en œuvre de cet événement (à la fois ponctuel et courant constant), et les (nouveaux) flux de trésorerie supplémentaires qui seront reçus. Dans ce cas, les flux de trésorerie peuvent être compris comme des économies de coûts, la prévention des pertes, ainsi que des revenus supplémentaires pour l'entreprise.

Comme principal indicateur reflétant ce ratio, dans la pratique économique, il est d'usage d'utiliser la fonction de retour sur investissement - Retour sur investissement, .

(14.1)

La fonction d'actualisation est utilisée dans l'analyse des investissements d'investissement pour prendre en compte l'influence du facteur temps et ramener les coûts multi-temporels à un instant (généralement le moment où le projet démarre). Le taux d'actualisation dans ce cas vous permet de prendre en compte l'évolution de la valeur de l'argent au fil du temps.

Le modèle de retour sur investissement (14.1) montre clairement les deux tâches principales qui doivent être résolues lors de l'analyse de tout projet d'investissement et, en particulier, d'un projet de sécurité de l'information : calculer les coûts associés au projet et calculer le flux de trésorerie supplémentaire. Si la méthodologie de calcul du coût total () au cours des 10 à 15 dernières années, dans son ensemble, a été assez complètement formée (sous la forme du concept de "coût total de possession", TCO - coût total de possession, TCO ) et est activement utilisé dans la pratique en ce qui concerne divers types les systèmes d'information et les éléments d'infrastructure d'information, puis le calcul du cash-flow supplémentaire () résultant des investissements dans outils de sécurité de l'information provoque généralement de graves problèmes. L'une des approches les plus prometteuses pour le calcul de cet indicateur est une technique basée sur une évaluation quantitative (monétaire) des risques d'atteinte aux ressources informationnelles et une évaluation de la réduction de ces risques associée à la mise en œuvre de mesures supplémentaires de protection de l'information.

Ainsi, en général, la composition de la méthodologie d'analyse de la faisabilité d'investir dans des projets visant à assurer la sécurité de l'information est schématiquement présentée à la fig. 14.1.

L'analyse des coûts associés à la mise en œuvre du projet, bien qu'il s'agisse d'une tâche relativement plus simple, peut néanmoins poser certaines difficultés. Comme pour de nombreux autres projets dans le domaine des technologies de l'information, il est conseillé d'effectuer une analyse des coûts pour la mise en œuvre de projets dans le domaine de la sécurité de l'information, basée sur la méthodologie de base bien connue "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), introduit par une société de conseil « Gartner Group » en 1987 à propos des ordinateurs personnels. En général, cette méthodologie vise à assurer l'exhaustivité de l'analyse des coûts (directs et indirects) associés à informatique et systèmes d'information, dans les situations où il est nécessaire d'évaluer les conséquences économiques de l'introduction et de l'utilisation de tels systèmes : lors de l'évaluation de l'efficacité des investissements, de la comparaison des technologies alternatives, de l'établissement des budgets d'investissement et de fonctionnement, etc.

En général, la valeur totale de la CER comprend :

  • les coûts de conception du système d'information ;
  • les frais d'acquisition de matériels et logiciels : matériel informatique, matériel réseau, logiciels (compte tenu des modes de licences utilisés), ainsi que les loyers ;
  • Coûts de développement Logiciel et sa documentation, ainsi que pour corriger les erreurs qu'il contient et l'affiner pendant la période d'exploitation ;
  • les coûts d'administration courante des systèmes d'information (y compris la rémunération des services d'organismes tiers auxquels ces fonctions sont externalisées) ;
  • frais pour soutien technique et services ;
  • le coût des consommables ;
  • les frais de services de télécommunication (accès Internet, canaux de communication dédiés et commutés, etc.) ;
  • le coût de la formation des utilisateurs, ainsi que des employés des services informatiques et du service de la sécurité de l'information ;
  • coûts indirects - les coûts de l'entreprise associés à la perte de temps des utilisateurs en cas de défaillance du fonctionnement des systèmes d'information.

De plus, dans le calcul des coûts pour augmenter le niveau de sécurité de l'information, il est nécessaire d'inclure les coûts de réorganisation des processus commerciaux et du travail d'information avec le personnel: paiement des services de consultants commerciaux et de consultants en sécurité de l'information, coûts de développement de l'organisation documentation, frais de réalisation d'audits de sécurité de l'information, etc. .P. En outre, lors de l'analyse des coûts, il est également nécessaire de prendre en compte le fait que, dans la plupart des cas, l'introduction d'outils de sécurité de l'information implique l'émergence de responsabilités supplémentaires pour le personnel de l'entreprise et la nécessité d'effectuer des opérations supplémentaires lorsqu'il travaille avec systèmes d'information. Cela entraîne une certaine diminution de la productivité des employés de l'entreprise et, par conséquent, peut entraîner des coûts supplémentaires.

Ils investissent dans une variété de technologies de sécurité informatique, des plates-formes pour payer des primes pour la découverte de vulnérabilités logicielles aux diagnostics et aux tests logiciels automatisés. Mais surtout, ils sont attirés par les technologies d'authentification et de gestion des informations d'identité - environ 900 millions de dollars ont été investis dans des startups engagées dans ces technologies en 2019 à la fin de 2019.

Les investissements dans les startups d'éducation à la sécurité ont atteint 418 millions de dollars en 2019, aidés par KnowBe4, qui a levé 300 millions de dollars.La startup propose une plateforme de simulation d'attaques de phishing et une gamme de programmes de formation.

Environ 412 millions de dollars en 2019 ont été reçus par des entreprises impliquées dans la sécurité de l'Internet des objets. Dans cette catégorie, SentinelOne est le leader en termes d'investissements, qui a reçu en 2019 120 millions de dollars pour développer des technologies de protection des terminaux.

Dans le même temps, les analystes de Metacurity fournissent d'autres données caractérisant la situation du marché du financement par capital-risque dans le secteur de la sécurité de l'information. En 2019, le volume des investissements ici a atteint 6,57 milliards de dollars, contre 3,88 milliards de dollars en 2018. Le nombre de transactions a également augmenté - de 133 à 219. Dans le même temps, l'investissement moyen par transaction est resté pratiquement inchangé et s'élevait à 29,2 millions fin 2019, calculé dans Metacurity.

2018

Croissance de 9% à 37 milliards de dollars - Canalys

En 2018, les ventes d'équipements, de logiciels et de services destinés à la sécurité de l'information (SI) ont atteint 37 milliards de dollars, après avoir augmenté de 9 % par rapport à un indicateur de prescription d'un an (34 milliards de dollars). Ces données ont été publiées le 28 mars 2019 par les analystes de Canalys.

Alors que de nombreuses entreprises accordent la priorité à la protection de leurs actifs, données, terminaux, réseaux, employés et clients, la cybersécurité ne représentait que 2 % des dépenses informatiques totales en 2018, ont-ils déclaré. Cependant, de plus en plus de nouvelles menaces émergent, elles deviennent de plus en plus complexes et fréquentes, ce qui offre aux fabricants de solutions de sécurité de l'information de nouvelles opportunités de croissance. Les dépenses totales en cybersécurité devraient dépasser 42 milliards de dollars en 2020.

L'analyste de Canalys, Matthew Ball, estime que la transition vers de nouveaux modèles de mise en œuvre de la sécurité de l'information va s'accélérer. Les clients modifient la nature de leurs budgets informatiques avec des services de cloud public et des services flexibles par abonnement.

Environ 82 % des projets de déploiement de la sécurité de l'information en 2018 impliquaient l'utilisation de matériel et de logiciels traditionnels. Dans les 18 % de cas restants, la virtualisation, les nuages ​​publics et les services de sécurité de l'information ont été utilisés.

D'ici 2020, la part des modèles de déploiement traditionnels des systèmes de sécurité de l'information tombera à 70 %, car les nouvelles solutions gagnent en popularité sur le marché.

Les fournisseurs devront créer un large éventail de modèles commerciaux pour soutenir cette transition, car différents produits sont adaptés à différents types déploiements. Le principal défi pour beaucoup aujourd'hui est de rendre les nouveaux modèles plus axés sur les canaux d'affiliation et de les intégrer aux modèles existants. programmes d'affiliation, en particulier avec les transactions des clients via des plates-formes cloud. Certains marchés cloud ont déjà répondu à cela en permettant aux partenaires de proposer des offres et des prix personnalisés directement aux clients en suivant les enregistrements d'offres et les remises, a déclaré Matthew Ball dans un article du 29 mars 2019.

Selon l'analyste de Canalys Ketaki Borade, les principaux fournisseurs de technologies de cybersécurité ont introduit de nouveaux modèles de distribution de produits qui impliquent que les entreprises passent à un programme d'abonnement et augmentent les opérations dans l'infrastructure cloud.


Le marché de la cybersécurité est resté très dynamique, avec une activité et un volume de transactions record en réponse aux exigences réglementaires et techniques croissantes, ainsi qu'au risque persistant et omniprésent de violations de données, a déclaré Eric McAlpine, co-fondateur et associé directeur de Momentum Cyber. « Nous pensons que cet élan continuera de pousser le secteur vers de nouveaux territoires alors qu'il cherche à contrer les menaces émergentes et se consolide face à la fatigue des fournisseurs et à la pénurie croissante de compétences.

2017

Les dépenses en cybersécurité ont dépassé les 100 milliards de dollars

En 2017, les dépenses mondiales en sécurité de l'information (SI) - produits et services - ont atteint 101,5 milliards de dollars, a déclaré la société de recherche Gartner à la mi-août 2018. Fin 2017, les experts estimaient ce marché à 89,13 milliards de dollars, la raison de l'augmentation significative de l'estimation n'est pas indiquée.

Les DSI s'engagent à aider leurs organisations à utiliser en toute sécurité les plates-formes technologiques pour devenir plus compétitives et stimuler la croissance de l'entreprise, a déclaré Siddharth Deshpande, directeur de la recherche chez Gartner. - La pénurie continue de compétences et les changements réglementaires tels que le Règlement général sur la protection des données (RGPD) en Europe alimentent la croissance du marché des services de cybersécurité.

Les experts estiment que l'un des principaux facteurs contribuant à l'augmentation des dépenses de protection des informations, est l'introduction de nouvelles méthodes de détection et de réponse aux menaces - elles sont devenues la priorité absolue pour la sécurité des organisations en 2018.

Selon les estimations de Gartner, en 2017, les dépenses des entreprises en services de cyberdéfense ont dépassé 52,3 milliards de dollars dans le monde. En 2018, ces coûts atteindront 58,9 milliards de dollars.

En 2017, les entreprises ont dépensé 2,4 milliards de dollars pour la protection des applications, 2,6 milliards de dollars pour la protection des données et 185 millions de dollars pour la protection des services cloud.

Les ventes annuelles de solutions de gestion d'identification et d'accès (Identity And Access Management) s'élèvent à 8,8 milliards de dollars et la mise en place de moyens de protection des infrastructures informatiques s'élève à 12,6 milliards de dollars.

Toujours dans une recherche, il est question de dépenses d'un montant de 10,9 milliards de dollars pour l'équipement utilisé pour assurer la sécurité du réseau. Leurs fabricants ont gagné 3,9 milliards de dollars grâce aux systèmes de gestion des risques liés à la sécurité de l'information.

Les dépenses de sécurité des informations des consommateurs pour 2017 sont estimées par les analystes à 5,9 milliards de dollars, selon une étude de Gartner.

Gartner a estimé le volume du marché à 89,13 milliards de dollars

En décembre 2017, on a appris que les dépenses mondiales des entreprises pour assurer la sécurité de l'information (SI) en 2017 s'élèveraient à 89,13 milliards de dollars. Selon l'estimation de Gartner, les dépenses des entreprises pour la cybersécurité de près de 7 milliards de dollars dépasseront le montant de 2016 à 82,2 milliards de dollars. .

Les experts considèrent les services de sécurité de l'information comme le poste de dépenses le plus important : en 2017, les entreprises alloueront plus de 53 milliards de dollars à ces fins contre 48,8 milliards de dollars en 2016. Le deuxième segment du marché de la sécurité de l'information est celui des solutions de protection des infrastructures, dont les coûts s'élèveront en 2017 à 16,2 milliards de dollars au lieu de 15,2 milliards de dollars il y a un an. L'équipement pour la sécurité du réseau - à la troisième place (10,93 milliards de dollars).

La structure des coûts de la sécurité de l'information comprend également les logiciels grand public pour la sécurité de l'information et les systèmes de gestion de l'identification et des accès (Identity and Access Management, IAM). En 2017, Gartner estime les coûts dans ces domaines à 4,64 milliards de dollars et 4,3 milliards de dollars, tandis qu'en 2016, les chiffres étaient respectivement de 4,57 milliards de dollars et 3,9 milliards de dollars.

Les analystes s'attendent à une nouvelle croissance du marché de la sécurité de l'information : en 2018, les organisations augmenteront leurs dépenses de cyberdéfense de 8 % supplémentaires et alloueront un total de 96,3 milliards de dollars à ces fins. Parmi les facteurs de croissance, les experts ont cité l'évolution de la réglementation dans le domaine de la sécurité de l'information, la sensibilisation de nouvelles menaces et orienter les entreprises vers une stratégie commerciale numérique.

En général, les dépenses en cybersécurité sont largement dues à la réaction des entreprises aux incidents de cybersécurité, car le nombre de cyberattaques résonnantes et de fuites d'informations dont souffrent les organisations augmente dans le monde entier, - Ruggero Contu, directeur de recherche chez Gartner, commente les prévisions .

Les propos de l'analyste sont également confirmés par les données obtenues par Gartner en 2016 lors d'une enquête auprès de 512 organisations de huit pays : Australie, Canada, France, Allemagne, Inde, Singapour et États-Unis.

53 % des répondants ont cité le risque de cybersécurité comme le principal moteur de l'augmentation des dépenses de cybersécurité. De ce nombre, le pourcentage le plus élevé des personnes interrogées a déclaré que la menace de cyberattaques est la plus grande influence sur les décisions de dépenses en matière de sécurité de l'information.

Les prévisions de Gartner pour 2018 prévoient une augmentation des dépenses dans tous les principaux domaines. Ainsi, environ 57,7 milliards de dollars (+ 4,65 milliards de dollars) seront dépensés en services de cyberdéfense, environ 17,5 milliards de dollars (+ 1,25 milliard de dollars) en sécurité des infrastructures et 11,67 milliards de dollars (+ 1,25 milliard de dollars) en équipements de protection des réseaux (735 millions de dollars), en logiciels grand public. - 4,74 milliards de dollars (+109 millions de dollars) et sur les systèmes IAM - 4,69 milliards de dollars (+416 millions de dollars).

Les analystes estiment également que d'ici 2020, plus de 60 % des organisations dans le monde investiront simultanément dans plusieurs outils de protection des données, notamment la prévention des pertes d'informations, le chiffrement et l'audit. Fin 2017, la part des entreprises achetant de telles solutions était estimée à 35 %.

Un autre élément important des coûts d'entreprise pour la sécurité de l'information sera l'implication de spécialistes tiers. Il est prévu que dans le contexte de pénurie de personnel dans le domaine de la cybersécurité, la complexité technique croissante des systèmes de cybersécurité et l'augmentation des cybermenaces des coûts des entreprises pour l'externalisation de la cybersécurité en 2018 augmenteront de 11% et seront de 18,5 milliards de dollars.

Gartner estime que d'ici 2019, les dépenses des entreprises en experts tiers en cybersécurité représenteront 75 % des dépenses totales en logiciels et matériel de cybersécurité, contre 63 % en 2016.

IDC prévoit une taille de marché de 82 milliards de dollars

Les deux tiers des coûts incomberont aux entreprises liées aux grandes et très grandes entreprises. D'ici 2019, selon les analystes d'IDC, les dépenses des entreprises de plus de 1 000 employés dépasseront les 50 milliards de dollars.

2016 : Volume du marché 73,7 milliards de dollars, croissance 2 fois supérieure à celle du marché informatique

En octobre 2016, la société d'analyse IDC a présenté de brefs résultats d'une étude du marché mondial de la sécurité de l'information. On s'attend à ce que sa croissance soit une veuve supérieure à celle du marché informatique.

IDC a calculé que les ventes mondiales d'équipements, de logiciels et de services de cyberprotection atteindront environ 73,7 milliards de dollars en 2016, et qu'en 2020, l'indicateur dépassera 100 milliards de dollars, après avoir réalisé 101,6 milliards de dollars. les technologies croîtront en moyenne de 8,3 % par an, soit le double du taux de croissance attendu de l'industrie informatique.


Les dépenses de cybersécurité les plus importantes (8,6 milliards de dollars) à la fin de 2016 sont attendues dans les banques. Les deuxième, troisième et quatrième places en termes de taille de ces investissements seront occupées par les entreprises manufacturières discrètes, les organismes gouvernementaux et les entreprises manufacturières continues, respectivement, qui représenteront environ 37 % des coûts.

Les analystes donnent le leadership dans la dynamique d'augmentation des investissements en cybersécurité dans les soins de santé (une croissance annuelle moyenne de 10,3 % est attendue en 2016-2020). Le coût de la cyberdéfense dans les télécommunications, le logement, les agences gouvernementales et sur le marché des investissements et des valeurs mobilières augmentera d'environ 9 % par an.

Le plus grand marché de la cybersécurité, selon les chercheurs, est celui des États-Unis, dont le volume atteindra 31,5 milliards de dollars en 2016. Les trois premiers comprendront également l'Europe de l'Ouest et la région Asie-Pacifique (hors Japon). Il n'y a aucune information sur le marché russe dans la version courte de l'étude d'IDC.

Dmitry Gvozdev, directeur général de la société russe Security Monitor, prévoit une augmentation de la part des services dans les dépenses totales de sécurité russes de 30-35% à 40-45%, et prédit également le développement de la structure du marché client - du total prédominance des secteurs étatique, financier et énergétique au profit des entreprises de taille moyenne d'un éventail plus large d'industries.

L'une des tendances devrait être l'évolution de la part des produits logiciels en relation avec les questions de substitution des importations et la situation de la politique étrangère. Cependant, la façon dont cela se reflétera dans les performances financières dépendra en grande partie du taux de change du rouble et de la politique de prix des fournisseurs étrangers, qui occupent toujours au moins la moitié du marché national des solutions logicielles et jusqu'à deux tiers dans le segment des équipements. Le résultat financier annuel final de l'ensemble du marché russe des solutions de cybersécurité peut également être lié à des facteurs économiques externes, a rapporté Gvozdev lors d'une conversation avec TAdviser.

2015

LA TAILLE DU MARCHÉ

DÉPENSES FÉDÉRALES

CYBERCRIMINALITÉ

COÛT PAR INFRACTION

SERVICES FINANCIERS

International

ANALYSE DE SÉCURITÉ

2013 : Le marché EMEA a atteint 2,5 milliards de dollars.

Le volume du marché des moyens de sécurité de la région EMEA (Europe, Moyen-Orient et Afrique) a augmenté de 2,4 % par rapport à 2012 et s'élève à 2,5 milliards de dollars. réseaux informatiques– Solutions UTM (Gestion unifiée des menaces). Dans le même temps, IDC a prédit que le marché des moyens techniques de sécurité de l'information d'ici 2018 atteindra en valeur 4,2 milliards de dollars avec une croissance annuelle moyenne de 5,4 %.

Fin 2013, la position de leader parmi les fournisseurs en termes de chiffre d'affaires des ventes de moyens techniques de sécurité de l'information dans la région EMEA a été prise par Check Point. Selon IDC, les revenus du fournisseur dans ce segment pour 2013 ont augmenté de 3,8 % et se sont élevés à 374,64 millions de dollars, ce qui correspond à une part de marché de 19,3 %.

2012 : Prévision PAC : Le marché de la cybersécurité va croître de 8% par an

Le marché mondial de la sécurité de l'information augmentera de 8 % par an jusqu'en 2016, date à laquelle il pourrait atteindre 36 milliards d'euros, selon l'étude.

2022 wisemotors.com. Comment ça fonctionne. Fer. Exploitation minière. Crypto-monnaie.