Pendant longtemps, certaines grandes entreprises, pas toutes, n’ont pas suffisamment considéré l’importance des stratégies de cybersécurité. Elles ont appris à leurs dépens qu’il était préférable d’investir pour se protéger plutôt que de subir des attaques.
Aujourd’hui, si les grandes entreprises mobilisent les budgets nécessaires pour se protéger contre les cyber-attaques, en France, les PME et ETI investissent, quant à elles, encore peu dans la cybersécurité. Ces entreprises sont moins sensibilisées aux risques qui accompagnent une cyber-attaque, et considèrent que la protection des SI est un enjeu moindre pour elles puisque leur notoriété, moins importante que de grandes entreprises dont la presse évoquait encore récemment les déboires, ne fera pas d’elles la cible des hackers. Mécaniquement, elles attendent donc souvent d’être victimes d’un ransomware pour comprendre que la cybersécurité les concerne également.
Pourtant, le RGPD a changé la donne. Désormais, les entreprises sont légalement contraintes de révéler toute faille de sécurité qui les toucherait au grand public et à la CNIL. Se protéger est donc devenu un enjeu d’image pour les petites comme pour les grandes entreprises.
Toutefois, cet investissement, s’il est incontournable, représente un coût non négligeable et des budgets nouveaux. Pour les assumer, deux profils se dégagent : certaines débloquent des lignes et les budgets correspondant de manière immédiate, d’autres souhaitent un plan de financement sur 3 à 5 ans. Dans tous les cas, chaque entreprise doit pouvoir investir selon son portefeuille.
Suite aux nombreuses évolutions technologiques, la manière d’investir a-t-elle évolué ?
Les enveloppes budgétaires dédiées à la cybersécurité n’ont pas drastiquement changé, mais la manière d’investir n’est plus la même.
En effet, la valeur du hardware a diminué, et les logiciels sont progressivement remplacés par des softwares as a service (Saas). Sur un plan comptable, ces deux types d’investissement sont différents : on n’achète plus un équipement, avec un coût fixe échelonnable ; désormais, on passe à un modèle de souscription au logiciel.
Ce nouveau mode de consommation des outils de cybersécurité s’inscrit dans un contexte d’avènement des solutions externalisées : de plus en plus d’entreprises souhaitent adopter un paiement correspondant à un service. Cette évolution vers un mode SaaS s’explique notamment par une modification des infrastructures : là où il suffisait de protéger un serveur sur une zone définie il y a quelques années, aujourd’hui, à l’ère du mobile, des tablettes, et des objets connectés (le parc automobile par exemple) l’enjeu des entreprises est de protéger leurs utilisateurs nomades (qu’ils soient leur salariés ou leurs clients).
Quels sont les avantages pour les entreprises ?
Investir dans la cybersécurité en mode SaaS présente de nombreux avantages pour les entreprises, parmi lesquels un coût d’investissement plus faible puisqu’il n’y a pas de structure à financer. Par ailleurs, les services d’achats peuvent demander des paiements mensuels selon la souscription, pour échelonner la dépense si besoin.
Tout l’enjeu est d’encadrer ces nouvelles pratiques en accompagnant les éditeurs et revendeurs qui font face à un changement brutal de business modèle. Quand un éditeur est habitué à vendre des licences et à toucher le cachet à l’instant où la vente se fait, basculer vers une souscription peut engendrer d’importants problèmes de trésorerie : en 14/15 mois, le besoin en fond de roulement équivaut au chiffre d’affaires d’environ un an ! Il faut donc mettre en place des contrats spécifiques pour pallier cela et les aider à préserver leur trésorerie durant cette mutation.
Bien sûr, les deux modèles peuvent coexister. L’éditeur seul a la clé de cette évolution : c’est lui qui impulse cette tendance sur le marché. Microsoft l’a fait pour sa suite Office, Cegid a basculé vers un modèle de licences… L’enjeu du BFR est le même pour les revendeurs, en passant d’un modèle à l’autre. Il est nécessaire de soutenir à la fois les éditeurs et son réseau d’intégrateurs dans cette évolution en s’adaptant à leurs besoins et en créant des contrats spécifiques sur-mesure (plans de paiements, contrat dits ” d’abonnement ” ou de ” souscriptions “).
Par par Bertrand Hurel, General Manager chez Exclusive Capital