Le rapport de PSA Certified souligne l'importance de la réglementation de sécurité à venir, 64 % des entreprises affirmant qu'elle aura de plus grandes ramifications que le RGPD
Le rapport de sécurité 2023 de PSA Certified, qui en est à sa troisième année, révèle aujourd'hui comment l'investissement dans la sécurité des appareils connectés s'est accéléré alors que la législation à venir gagne les esprits. Le rapport dévoile également une différence notable avec celui de l'an dernier, à savoir que les clients sectoriels et surtout les consommateurs exigent à présent une telle sécurité.
Le baromètre annuel des perceptions et des intentions sectorielles en matière de sécurité des appareils connectés a interrogé 1 240 décideurs technologiques à l'échelle mondiale et constaté que les trois quarts (75 %) des entreprises déclarent que la sécurité est devenue une priorité commerciale plus importante au cours des 12 derniers mois et qu'elles dépensent en moyenne 15,3 % de plus en 2023 qu'en 2022 dans les domaines liés à la sécurité. Les dépenses moyennes par entreprise pour l'investissement continu dans la sécurité et le renforcement de la sécurité dans les produits ont toutes deux augmenté de 12 %. Les dépenses consacrées à la validation externe sont également en hausse, les dépenses consacrées aux tests et à l'évaluation en laboratoire tiers ayant augmenté de 24 % et celles consacrées à la certification de sécurité de 14 %.
En explorant les raisons de la hausse des investissements, un facteur significatif est la volonté de s'aligner sur la réglementation à venir à l'échelle mondiale, en particulier la législation de l'UE, qui aura un profond impact sur les entreprises tant à l'intérieur qu'à l'extérieur de l'Union européenne. Environ la moitié (49 %) des répondants essaient activement d'être conformes à la loi sur la cyberrésilience de l'UE, 40 % disent la même chose à propos de la directive de l'UE sur les équipements radioélectriques (RED) et 39 % disent la même chose à propos de la Product Security and Telecommunication Infrastructure (PSTI) au Royaume-Uni.
Le secteur est arrivé à un carrefour réglementaire : les entreprises prennent déjà des mesures pour garder une longueur d'avance sur la conformité
Les trois quarts (75 %) des répondants citent la conformité réglementaire comme l'une des trois priorités. Malgré les difficultés liées à la conformité, 71 % se félicitent de la nouvelle réglementation et 69 % recherchent « l'avantage du précurseur » en se conformant à l'avance sur la réglementation afin de gagner un avantage concurrentiel. Fait notable, 68 % pensent qu'ils sont déjà en avance sur les exigences réglementaires.
Pour contextualiser cette évolution, près des deux tiers (64 %) des répondants estiment que la réglementation à venir, telle que la loi sur la cyberrésilience de l'UE, est encore plus importante que le règlement général sur la protection des données de l'UE (RGPD), qui a eu une incidence majeure sur la manière dont les données sont partagées à l'échelle mondiale. En se référant à nouveau au poids de la demande des consommateurs pour plus d'assurance sur la sécurité des appareils connectés, 65 % des entreprises estiment que la réglementation aura un impact positif sur leurs résultats financiers.
Cependant, l'incertitude subsiste : 69 % des dirigeants d'entreprise indiquent que la réglementation a besoin d'être mieux définie et 64 % disent qu'ils ont besoin de plus d'orientations sur la façon de s'y conformer.
David Maidment, directeur principal, Secure Devices Ecosystem, Arm (un cofondateur de PSA Certified) :
« Au fur et à mesure que les normes de sécurité et les réglementations évoluent, s'assurer que la confiance soit intégrée aux appareils est une priorité pour les dirigeants du secteur. La valeur d'avoir une sécurité certifiée dans des composants éprouvés a été fermement établie, et les entreprises prédisent qu'elle ne fera qu'augmenter une fois que les acheteurs la verront se généraliser. Par conséquent, ils sont motivés à garder une longueur d'avance et à s'aligner sur la réglementation dès maintenant. »
Il existe également des signes clairs que les acheteurs deviennent de plus en plus perspicaces et attendent un niveau de sécurité plus élevé. Près des deux tiers (65 %) recherchent des références de sécurité lors de l'achat de produits connectés en tant que consommateur, et ils sont prêts à payer davantage pour cela : plus des deux tiers (69 %) se disent prêts à payer un supplément pour une sécurité intégrée. D'un point de vue commercial, la principale raison pour laquelle les répondants considèrent la sécurité comme un élément bénéfique pour le résultat net est l'augmentation de la confiance du public dans l'entreprise, ce qui entraîne une augmentation des ventes (64 %). D'autre part, la perte de clients est le résultat cité comme ayant le plus d'impact sur l'activité des répondants si un produit devait subir une défaillance de sécurité (à 29 %), un important préjudice réputationnel (27 %), le coût du paiement de dommages-intérêts (19 %) et des amendes réglementaires (11 %).
En conséquence, presque tous les décideurs technologiques (96 %) considèrent la sécurité des appareils comme un avantage pour le résultat net.
Et Maidment de continuer : « Dans le dernier rapport de PSA Certified, nous avons qualifié 2022 d'année charnière pour la sécurité des appareils connectés, car elle devenait un pilier clé de la stratégie technologique. La sensibilisation n'a fait que s'accroître et le rapport de cette année révèle que les clients exigent cette sécurité. C'est là que la dynamique a vraiment changé : l'intérêt du public à l'égard du sujet s'est accru et, par conséquent, les attentes en matière de normes de sécurité se sont accrues elles aussi. L'investissement dans les dispositifs de sécurité, les experts et la certification n'est plus facultatif et doit être priorisé. »
Les entreprises prennent des mesures pour prouver la robustesse de la sécurité, mais il faut en faire davantage pour garantir les meilleures pratiques
Les entreprises adoptent également de plus en plus de mesures de sécurité renforcée pour réduire les risques et la responsabilité. Plus de la moitié des répondants disent qu'une certification de sécurité est utile pour prouver la robustesse aux clients (53 %) ? une augmentation de 21 % en glissement annuel.
Actuellement, le principal obstacle que les entreprises ressentent pour générer les meilleures pratiques en matière de sécurité est de disposer des compétences nécessaires pour la mettre en oeuvre. Le manque de spécialistes de la sécurité (29 %) et la complexité (25 %) ont été les principaux obstacles à la mise en oeuvre d'une sécurité renforcée.
C'est dans cet esprit que les entreprises s'attaquent de front au problème : un nombre important d'entreprises sondées prévoient d'optimiser les compétences de leur équipe actuelle en matière de sécurité (51 %) et d'étoffer leurs effectifs (44 %) au cours des 12 prochains mois. Bien qu'il soit nécessaire de renforcer les compétences des équipes internes, la pénurie mondiale d'experts en sécurité est une situation largement reconnue. Il n'est donc pas surprenant que 72 % reconnaissent également que les lignes directrices et les processus sectoriels sont essentiels pour aider l'industrie à accroître ses ressources et réduire le besoin de déployer de grandes équipes de sécurité.
Maidment conclut : « Ce sont des signes positifs pour les emplois et des opportunités dans le secteur, mais les compétences à elles seules ne résoudront pas la menace pour la sécurité. Une solution évolutive, conçue avec des composants de confiance précertifiés combinés à des normes reconnues et à des tests externes, joue un rôle essentiel. Il existe un consensus grandissant à ce sujet au sein du secteur. Le problème doit être résolu de manière plus intelligente et évolutive sur l'ensemble de la chaîne d'approvisionnement. »
Retrouvez le rapport dans son intégralité sur https://report.psacertified.org/
****
Notes aux rédacteurs
Les principales conclusions de ce rapport sont tirées d'un sondage réalisé auprès de 1 240 décideurs et consultants technologiques en Amérique du Nord (Canada et États-Unis), en Europe (Allemagne, Danemark, France, Italie, Norvège, Pays-Bas, Royaume-Uni et Suède) et APAC (Chine, Corée, Inde, Japon et Taïwan). Les entretiens ont été menés en ligne en avril 2023 via une invitation par courriel et un sondage en ligne.
Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Communiqué envoyé le et diffusé par :
