La cybersécurité capte 11% du budget IT des entreprises marocaines (Etude)

Les experts PwC démontrent que la cybersécurité est désormais un enjeu majeur pour les entreprises au Maroc. Digitalisation, réglementation de certains secteurs et directives nationales poussent aujourd’hui les entreprises à renforcer leurs dispositifs en matière de protection des données. Cette prise de conscience et ces efforts doivent néanmoins se poursuivre.

Des budgets en hausse pour la cybersécurité

Dans un contexte de transformation digitale de plus en plus prégnant, les entreprises marocaines prennent conscience des risques encourus et des enjeux en matière de cybersécurité. Cependant, 70% des répondants déclarent que leur stratégie de cybersécurité n’est pas implémentée à une vitesse suffisante.

L’utilisation de logiciels malveillants est citée comme vecteur principal des cyberattaques au sein de l’entreprise au Maroc. En effet, 25% des entreprises interrogées estiment que ceux-ci sont à l’origine des incidents de sécurité subis en 2017.

Face à ces constats, les entreprises marocaines ont consacré en 2017 à leur cybersécurité des budgets en hausse significative par rapport à 2016, largement supérieur au panel mondial (11% du budget IT au Maroc contre 4% dans le monde).

Ce budget demeure tout de même insuffisant aux yeux de 72% des répondants. D’après Nabil Kettani, Associé Digital & Expérience chez PwC au Maroc: "les entreprises marocaines font face à de nouveaux challenges et à une pression importante liée à l’ouverture de multiples chantiers de digitalisation. Malgré un budget sécurité paraissant relativement significatif par rapport au budget IT, cette pression et cette multiplicité des sujets adressés dans un timing court induisent cette perception de budget insuffisant".

Ce sont en majorité les grandes entreprises qui se montrent proactives et qui prennent la mesure du risque cyber. Les petites et moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber qu’à la suite d’un incident ou des recommandations d’un audit.

A noter qu’au Maroc, la conformité règlementaire reste l’élément moteur majeur poussant les entreprises à investir en matière de cybersécurité, devant la transformation digitale des organisations.

Par ailleurs, la majorité des entreprises considèrent encore la cybersécurité comme un problème purement technique et non relevant de la gouvernance d’entreprise. De fait, 75% des entreprises sondées déclarent avoir désigné un Responsable de la Sécurité des Systèmes d'Information (RSSI) rattaché à leur Direction des Systèmes d’Information (DSI) et non au Comité de direction. Seulement 25% des organisations qui ont défini une gouvernance en ont approuvé son cadre au niveau du Comité de direction.

"La cybersécurité continue d’être perçue comme une problématique technique et est donc naturellement rattachée à la DSI des organisations. C’est ce qui explique d’ailleurs que la problématique de la cybersécurité soit insuffisamment traitée à un niveau stratégique, alors qu’elle le devrait", analyse Nabil Kettani.

Des incidents encore peu identifiables et des impacts difficilement quantifiables

Près de 70% des entreprises interrogées déclarent avoir détecté moins de 50 incidents de sécurité au cours des 12 derniers mois, tandis que 10% n’en déclarent aucun. 39% d’entre elles ne sont par ailleurs pas capables d’identifier l’origine des incidents en matière de cybersécurité.

"Si le nombre d’incidents détectés au Maroc est moins important que dans le reste du monde, c’est parce que les entreprises ne détectent pas toujours les attaques dont elles sont victimes. De plus, dans la majorité des cas, les pertes financières ne sont pas chiffrées. Seules 11% des entreprises déclarent être en mesure de chiffrer leurs pertes", explique Nabil Kettani.

L’étude révèle également que les entreprises n’ont pas toutes mené une analyse de risques sur leurs infrastructures internes et sur leurs prestataires. "Les dispositifs mis en place par les organisations sont encore parcellaires. Globalement, les entreprises marocaines ne sont réactives que post incidents ou post audit. Elles sont encore trop rarement proactives. Les entreprises ont globalement encore un chemin significatif à parcourir pour atteindre un niveau de maturité acceptable au regard des risques à couvrir", conclut Nabil Kettani.

Il est à noter que cette enquête a été réalisée, en ligne, du 5 mars 2018 au 6 avril 2018. Les résultats présentés se fondent sur les réponses de 50 entreprises marocaines à plus de 40 questions relatives à la sécurité de l’information et aux moyens de protection mis en œuvre par celles-ci. 

Près de 50% des entreprises interrogées opèrent dans le secteur Industrie, Services et produits de consommation. 24% dans les services financiers. 16% dans les Télécoms, Médias et Technologies et 10 % dans le secteur public.

Cliquez ici pour consulter les résultats de cette enquête. 

Rappelons que PwC développe au Maroc et dans les pays francophones d'Afrique des missions de conseil, d’audit et d’expertise comptable, privilégiant des approches sectorielles.