Les chefs de la sécurité coupent le gras à mesure que les budgets mordent

Cela commence à changer.

Les analystes affirment parfois que le cyber est à l’abri des coupes budgétaires plus larges auxquelles sont confrontées les entreprises à la lumière d’un climat économique troublé, mais le la réalité sur le terrain est différente, disent les chefs de la sécurité. Alors que de nombreux RSSI n’ont pas connu le degré de serrage de ceinture vus par d’autres départements de l’entreprise, tels que les ventes et le marketing ou même les unités technologiques, ils sont souvent demandé de faire plus avec les ressources dont ils disposent.

Une économie aigre peut éroder le budget de la sécurité même sans ordre de réduire les dépenses, a déclaré John Scrimsher, CISO chez

Marques de bureau,

l’entreprise qui fabrique les jeans Wrangler et Lee.

La cybersécurité représente généralement une partie du budget technologique global, qui est lui-même un pourcentage des revenus, a déclaré Scrimsher. “Si l’économie est en baisse et que les revenus sont en baisse, alors les budgets informatiques et cyber sont en baisse”, a-t-il déclaré.

Ceci, à son tour, a invité un examen plus approfondi de la façon dont l’argent de la sécurité est dépensé et, à certains égards, a forcé les chefs de la sécurité à tenir compte de vérités inconfortables.

« Même dans une bonne économie, les gens essaient de faire croître l’entreprise, c’est dans quoi ils veulent investir leurs fonds. La sécurité peut être importante, mais la sécurité ne génère pas de revenus », a déclaré William Lidster, CISO chez AAA Washington, assureur automobile.

Les fournisseurs de sécurité affirment que les conversations sur les renouvellements de contrats et la vente de produits deviennent difficiles et qu’ils doivent être flexibles avec les clients. Les directeurs financiers et les membres du conseil d’administration sont désormais plus impliqués, et les projets qui auraient pu être approuvés facilement au cours des dernières années font face à des perspectives plus difficiles.

David Obstler, directeur financier de

Datadog,

qui fournit une surveillance de la sécurité du cloud, a déclaré lors d’un appel aux résultats ce mois-ci que la société avait renégocié un contrat d’abonnement avec un gros client dans le secteur de la crypto-monnaie. Ce qui était un paiement initial de 65 millions de dollars est maintenant composé de plusieurs versements plus petits, a déclaré Obstler.

Les DSI et les RSSI mettent plus de temps à prendre des décisions d’achat, selon les grands acteurs de la cybersécurité

Réseaux de Palo Alto

et

FouleStrike.

Les revenus récurrents annuels pour l’exercice fiscal de CrowdStrike devraient être “stables à très légèrement en hausse”, a déclaré le directeur financier Burt Podbere aux analystes financiers en mars, “compte tenu de l’examen budgétaire accru et des cycles de vente allongés”.

“Nous avons vu certains projets être retardés ou décryptés, aucun annulé, tandis que la plupart continuent sur la bonne voie”, a déclaré Nikesh Arora, directeur général de Palo Alto Networks, lors d’un appel aux résultats en février. Les incertitudes économiques, a-t-il dit, “créent davantage de conversations sur les conditions de paiement, les remises et la portée de l’accord avec les équipes d’achat”.

La surveillance des budgets s’étend aux fournisseurs, dont certains connaissent défis de financement et consolidation, a déclaré Barry Mainz, directeur général de la société de cybersécurité Forescout Technologies. Il a déclaré que des clients avaient demandé des informations sur la santé financière de son entreprise et que certains souhaitaient parler à son directeur financier.

“Je n’ai pas entendu cela depuis un moment – peut-être qu’en 2008-2009, nous avions cela”, a-t-il déclaré, faisant référence à la crise financière. “Les entreprises qui cherchent à investir massivement veulent s’assurer qu’il existe une sorte de stabilité financière.”

Pour les responsables de la sécurité, qui peuvent avoir des dizaines de fournisseurs qui gèrent tout, des pare-feu à la sécurité des e-mails, réduisant ainsi le nombre de services coûteux qu’ils utilisent est une considération clé. Certains étudient également comment des technologies automatisées peuvent être mises en œuvre pour libérer des ressources humaines.

Lidster de AAA Washington a déclaré que sa société avait l’habitude d’avoir trois ou quatre spécialistes engagés à plein temps dans la chasse aux menaces ou dans les journaux du réseau pour rechercher des activités suspectes. Souvent, dit-il, ces employés hautement qualifiés ne savaient même pas ce qu’ils cherchaient tant qu’ils ne l’avaient pas trouvé.

L’entreprise a déployé des programmes d’apprentissage automatique pour assumer ce travail, libérant ainsi le personnel pour des tâches plus complexes, telles que l’analyse de l’efficacité du programme de sécurité de l’entreprise et les changements à apporter.

Les chefs de la sécurité qui cherchent à se débrouiller devraient également éliminer les cyber-outils qui sont tombés en désuétude ou qui n’ont plus autant de valeur qu’ils l’étaient autrefois, a déclaré Scrimsher de Kontoor Brands. “Faites des coupes de la manière la moins risquée possible”, a-t-il déclaré. “S’il existe un excellent outil qui vous donne une visibilité sur quelque chose mais que vous n’avez pas utilisé cette visibilité depuis cinq ans, avez-vous vraiment besoin de dépenser 20 000 $ par an pour cela ?”

Écrivez à James Rundle à [email protected] et Kim S. Nash à [email protected]