En ce début d’année 2022, la thèse initiale est claire: les sociétés technologiques de pointe qui ont affiché une solide croissance de leur chiffre d’affaires, mais qui peuvent avoir enregistré des bénéfices nets faibles voire négatifs, ont été remises en question. De nombreuses sociétés de cybersécurité visant l’avenir, à savoir spécialisées dans la sécurité du cloud plutôt que la sécurité des locaux par exemple, n’ont pas fait exception.

Toutefois, un grand nombre d’entre nous se rappelleront que 2021 a été une année entachée de nombreuses attaques informatiques majeures, à l’image du Pipeline Colonial, et il serait difficile d’imaginer l’existence d’une entreprise, quelle que soit sa taille, qui ne dépense ou n’investit rien dans le domaine de la cybersécurité.

Dans ce sens, il existe peu de mégatendances comme la cybersécurité: dans le cas de l’intelligence artificielle (IA) par exemple, il peut y avoir de nombreuses raisons de l’utiliser ou de nombreux avantages à en tirer, mais il convient de faire le bon choix. Ne rien faire dans le domaine de la cybersécurité n’est plus une option facultative, il s’agit davantage de se poser la question des services à utiliser et des entreprises avec lesquelles travailler.

Il est estimé qu’en 2020, les dépenses dans l’informatique du cloud, notamment dans les infrastructures en tant que service («infrastructure-as-a-service» ou IaaS) et les plateformes en tant que service («platform-as-a-service»), s’élevaient à 106,4 milliards de dollars sachant qu’elles devraient progresser à 217,7 milliards de dollars d’ici 2023¹.

Maintenant, il convient de protéger les charges de travail dans le cloud, mais combien de dépenses sont estimées dans le segment de la cybersécurité? En 2020, elles représentent environ 1,2 milliard de dollars et en 2023, elles étaient estimées à 2,0 milliards de dollars, ce qui signifie qu’en 2023, il est possible que les dépenses dans la sécurité du cloud soient inférieures à 1% des dépenses dans les services du cloud².

Il est estimé que les ‘dépenses de sécurité’ devraient être proches d’un chiffre situé entre 5 et 10% du budget informatique d’une entreprise. En d’autres termes, il serait plus raisonnable d’envisager un chiffre de 12,4 milliards de dollars de dépenses dans la sécurité du cloud en 2023, soit un niveau de croissance d’environ 10 fois l’estimation susmentionnée des dépenses 2020³. Rien ne garantit que les dépenses atteindront un jour ce niveau, mais le fait que les entreprises qui ont besoin de prendre le sujet plus au sérieux fait manifestement l’objet de discussions actuellement.

Qu’est-ce qui est plus coûteux: gérer un problème de cybersécurité ou dépenser dans des efforts de prévention?

Il s’agit de l’une des questions essentielles dans le domaine de la cybersécurité car s’il était moins coûteux de se contenter de résoudre les problèmes a posteriori, il n’existerait aucun marché des mesures préventives. Vers la fin du mois de décembre 2021, nous avons observé le cas d’une entreprise qui a dû régler un problème particulier:

• Un hacker a volé les données personnelles de plus de 100 millions de personnes en 2019 à Capital One et à son prestataire de services du cloud Amazon Web Services la même année.
• Capital One a convenu en 2021 de verser 190 millions de dollars pour régler une action collective en justice engagée par ses clients.
• En 2020, Capital One a accepté de verser 80 millions de dollars à titre de règlement des plaintes des autorités de tutelle affirmant que le groupe manquait de procédures de cybersécurité convenables lorsque le groupe a commencé à utiliser la technologie de stockage du cloud.

Ces montants ont fait les gros titres, mais réfléchissez au temps perdu, aux frais juridiques, au taux de rotation potentiel du personnel... Vu qu’il pourrait n’être jamais possible de se protéger à 100% contre l’ensemble des hackers, il est clair que les mesures préventives sont prioritaires.

L’angle d’approche de la question de la cybersécurité des gouvernements semble être, tout du moins actuellement, double:

1. Protection des données: Les citoyens sont devenus beaucoup plus conscients de l’utilisation et du stockage de leurs données de différentes manières qu’ils n’imaginaient même pas et les gouvernements souhaitent prendre des mesures pour «protéger» les données personnelles des citoyens dès lors que cela se révèle possible.
2. Protection des infrastructures: Le pipeline Colonial victime d’une attaque informatique a eu pour conséquence que les consommateurs ont eu de nombreuses difficultés à s’approvisionner en essence sur la Côte est des États-Unis.

En juillet 2021, le Sénat américain a confirmé à son poste Chris Inglis, premier Directeur national de la cybersécurité. En mai 2021, le Président Biden a publié un décret-loi («executive order») qui a modifié fortement la position générale des autorités de tutelle qui était auparavant beaucoup plus facultative et non interventionniste⁴.

Il convient de se rappeler que certaines tendances sont déjà en place et qu’elles pourraient être peu exposées aux modifications de la politique de taux d’intérêt. L’une d'entre elles est un passage du matériel stocké dans les locaux vers l’informatique du cloud grâce à laquelle de nombreuses entreprises peuvent générer des efficiences et des avantages en termes de coûts. Cette tendance nécessite différents programmes de sécurité mis à jour et elle devrait se poursuivre jusqu’en 2022. Le principal risque que nous entrevoyons est que de nombreuses entreprises de cybersécurité axées sur le cloud ont généré des performances boursières absolument incroyables ces dernières années et qu’elles peuvent voir leurs valorisations s’ajuster à la hausse des taux d’intérêt malgré la poursuite de la croissance de leur chiffre d’affaires. Se projeter au-delà des performances de l’année 2022 pourrait se révéler utile dans la perspective de la mégatendance de la cybersécurité.