Discussion :

[Anthony]

Le marché de la cybersécurité progresse de 16 % malgré la détérioration des conditions économiques, et s'évalue à 17,8 milliards de dollars au troisième trimestre 2022

Le marché mondial de la cybersécurité a progressé de 15,9 % par rapport à l'année précédente au troisième trimestre 2022, pour atteindre 17,8 milliards de dollars US, bien que les fournisseurs aient constaté un resserrement dans le secteur des PME.

Palo Alto Networks a été le fournisseur numéro un au cours du trimestre, avec une croissance de 24,9 % par rapport à l'année précédente et une augmentation de sa part de marché à 8,4 %, contre 7,8 % au T3 2021. Cisco était le deuxième fournisseur de cybersécurité, avec une croissance de 16,7 % et une part de marché stable de 6,9 %. Fortinet s'est classé troisième, avec une croissance de 29,9 % pour atteindre une part de marché de 6,7 %, contre 6,0 % il y a un an. 

La sécurité des endpoints est la catégorie qui a connu la plus forte croissance, avec une hausse de 18,7 % par rapport à l'année précédente, pour atteindre 2,7 milliards de dollars US. La sécurité des réseaux a été la catégorie la plus importante, représentant 5,1 milliards de dollars US et affichant une croissance de 14,8 %. 

Le secteur des technologies est confronté à une détérioration des conditions économiques, à une incertitude croissante et à un examen plus minutieux des dépenses informatiques, autant de facteurs que la plupart des fournisseurs ont pris en compte dans leurs prévisions. Les chutes des nouvelles affaires, les réductions des engagements de dépenses et les retards dans les dates de début des abonnements ont été pires que prévu, ce qui filtrera dans les résultats futurs. 

"De nombreux fournisseurs de cybersécurité se sont orientés vers des modèles économiques basés sur l'abonnement, ce qui a également contribué à les protéger de l'impact immédiat du ralentissement économique", a déclaré Matthew Ball, analyste en chef chez Canalys. "Le passage à des plateformes basées sur l'abonnement et l'accent mis sur la vente incitative des comptes existants soutiendront la croissance des revenus des fournisseurs de cybersécurité au cours des 12 prochains mois." 

Les ventes des canaux de distribution ont représenté 90,6 % du marché global, les 9,4 % restants étant réalisés directement auprès des clients. Les ventes par canal ont augmenté de 15,9 % par rapport à l'année précédente, dépassant les ventes directes. 

Les partenaires de distribution sont restés optimistes quant aux opportunités offertes par la cybersécurité. 27 % d'entre eux s'attendaient à ce que leurs revenus liés à la cybersécurité augmentent de plus de 20 % en 2023, selon un sondage Canalys réalisé auprès de 393 personnes entre le 21 novembre 2022 et le 9 décembre 2022. Par ailleurs, 27 % prévoyaient une croissance de 11 à 20 % l'année prochaine. Seuls 10% des partenaires s'attendaient à ce que les ventes de cybersécurité diminuent.

9,6 milliards de dollars US de ventes provenaient de l'Amérique du Nord, qui est restée de loin le plus grand marché de la cybersécurité, représentant 53,8 % des dépenses mondiales. C'est également le marché qui connaît la croissance la plus rapide (17,1 %). Les ventes de la région EMEA ont atteint 5,2 milliards de dollars US, celles de la région APAC 2,4 milliards de dollars US et celles de l'Amérique latine 0,6 milliard de dollars US.

Source : Canalys

Et vous ?

Quelle lecture faites-vous de cet article ?

Voir aussi :

Les dépenses mondiales en matière de sécurité et de gestion des risques devraient augmenter de 11,3 % en 2023
73 % des entreprises dans le monde augmentent leurs budgets de cybersécurité

[HaryRoseAndMac]

La cybersécurité est quelque chose de bien trop important pour que les entreprises contraignent les devs (web, logiciels, ...) à avoir des "devsecops" ou autres fadaises ou à les contraindre à avoir la casquette développeur en cybersécurité alors que leur boulot c'est dev. web, logiciels, ...

La sécurité ça ne s'invente pas et il doit y avoir un expert dans la boite ou des audits par des Freelances, ça n'est pas le boulot du dev au quotidien que de penser à cela, il y a beaucoup trop d'enjeux et de diversité dans ce domaine pour qu'il puisse avoir une vision aussi sécuritaire.

[smarties]

La cybersécurité est quelque chose de bien trop important pour que les entreprises contraignent les devs (web, logiciels, ...) à avoir des "devsecops" ou autres fadaises ou à les contraindre à avoir la casquette développeur en cybersécurité alors que leur boulot c'est dev. web, logiciels, ...

La sécurité ça ne s'invente pas et il doit y avoir un expert dans la boite ou des audits par des Freelances, ça n'est pas le boulot du dev au quotidien que de penser à cela, il y a beaucoup trop d'enjeux et de diversité dans ce domaine pour qu'il puisse avoir une vision aussi sécuritaire.

Sans être un boulot du quotidien de développeur, on se doit de connaître et respecter un certain nombre de règles (utilisé un hachage approprié des mots de passe comme bcrypt, utiliser des requêtes paramétrées pour se prémunir des injections SQL, ...).

Après, je suis complètement d'accord, il faut laisser les audits de sécurité aux experts.

[binarygirl]

Mois je crois que les développeurs doivent en faire encore davantage car ce sont eux qui créent le produit, après tout. Ils sont responsables de leur code (et on le voit bien ici, certains ont besoin d'une mise à niveau ). Donc oui, ils doivent avoir des bases en sécurité, pour la partie qui les concerne, comme toute personne qui travaille dans l'informatique.
D'autre part, il vaut mieux agir en amont et produire du code de bonne qualité, que faire du correctif après avoir essuyé une faille (qui peut être catastrophique). Même si on sait qu'il y aura le WAF, IDS ou le firewall on ne peut pas tout miser là-dessus (d'ailleurs ces équipements sont habituellement présents chez les entreprises qui se font hacker).

En tant que freelance je sais que j'engage ma responsabilité si le client subit un sinistre à cause de mon travail (faille dans le code produit ou mauvaise configuration réseau), et d'ailleurs j'ai une assurance professionnelle (c'est souvent une clause contractuelle). Ça ne m'empêche pas du tout de dormir, mais je suis un peu étonnée par la désinvolture dans le milieu des développeurs. Le hacking n'arrive pas qu'aux autres...

Toute interview technique en vue d'embauche d'un dév devrait systématiquement inclure des questions relatives à la sécurité, pas des questions pièges mais un test des connaissances dans des domaines tels que: principes à suivre pour le hashing de password, techiques de validation d'input utilisateur, requêtes paramétrées, failles de sérialisation ou file include, la base quoi. On ne m'en jamais posé et c'est ça qui n'est pas normal...

[HaryRoseAndMac]

Ils sont responsables de leur code

Déjà c'est factuellement faux pour n'importe quelle convention d'une entreprise, ensuite si l'on prends la majorité des entreprises, le développeur est imposé sur ce qu'il doit écrire.
Sa liberté repose sur la manière de le faire et c'est la ou se trouve la nuance.

Maintenant, le jour ou les entreprises arrêterons de prendre des gens qui sortent de formations en six mois à la openclassroom, ils commenceront à avoir de vrais développeur qui connaissent leur boulot avant de postuler dans une boite, même si ils sont loin d'être expert et qu'il leur reste tout un tas d'autres choses relatives à leur métier à apprendre qui elles, peuvent se faire dans l'entreprise.

De même, tu parles d'un Freelance, mais un salarié développeur et un Freelance, ce n'est ni légalement pareil sur les risques liés à son code, ni sur ce qu'il produit.
Un Freelance légalement est considéré comme un expert responsable de ce qu'il fait, que ce soit dans l'informatique ou quoi que ce soit d'autres, ce qui n'est pas le cas d'une entreprise qui assume, obligatoirement, les dégâts causé par son salariés, sauf si il avait connaissance des conséquences d'une chose et qu'il a pris la décision de ne pas le faire malgré tout, et que cela a entrainé une faute grave.

Qu'un Freelance doivent avoir en tant qu'expert, la casquette cybersécu, devops, ... j'ai envie de te dire, c'est normal et c'est pour ça qu'il coute beaucoup plus cher qu'un salarié, mais qu'un salarié lui, doivent penser à tout un tas de trucs liés à la sécurité non, ce n'est pas son job, c'est le job de l'entreprise.

Sinon, c'est comme si on reprochait au boulanger de ne pas avoir du bon matériel pour travailler.
Le boulanger à son compte, c'est de sa faute, celui employé, il n'y peu rien.

Une entreprise qui a des salariés à la responsabilité de faire appel à de (véritables) experts en sécurité Freelance ou à des agences avec des renommées mondiales comme l'ANSSI.
Le Freelance lui a la responsabilité de se former à tout ce qui compose son métier car légalement sa responsabilité est engagé, car, pour compléter ce que tu as écrits "En tant que freelance je sais que j'engage ma responsabilité si le client subit un sinistre à cause de mon travail", c'est même plus que ça, et en tant que Freelance j'imagine que tu le sais déjà : tu as une obligation de résultat, c'est légale, un Freelance informatique dans la case "Légale" est dans la même qu'un médecin libérale.

Si il n'est pas réellement expert alors qu'il est Freelance et qu'il y a un problème, il prend très, très cher.

[binarygirl]

Qu'un Freelance doivent avoir en tant qu'expert, la casquette cybersécu, devops, ... j'ai envie de te dire, c'est normal et c'est pour ça qu'il coute beaucoup plus cher qu'un salarié, mais qu'un salarié lui, doivent penser à tout un tas de trucs liés à la sécurité non, ce n'est pas son job, c'est le job de l'entreprise.

De mon point de vue, il n'y a pas de différence fondamentale entre l'employé et le freelance, si ce n'est que le freelancer est souvent un profil plus expérimenté et qu'il n'y a pas de de lien de subordination. S'il coûte plus cher c'est aussi parce qu'il paie ses charges sociales et s'il est plus productif c'est d'autant plus justifié.
L'employé qui commet une grosse bourde risque peut-être un peu moins en théorie mais il n'est pas à l'abri du licenciement pour faute grave si un incident de sécurité se produit.

Je ne sais pas si nous nous comprenons bien mais un exemple concret auquel je pense ce serait un développeur qui en 2022 persiste à produire du code vulnérable aux injections SQL par exemple (comme on le voit trop souvent ici) ou ignore le hashing de password. C'est bien sa responsabilité puisque c'est son code. C'est ça que j'appelle le périmètre propre au développeur. On le lui demande pas d'être un pentester mais de maîtriser son domaine. Sinon à quoi sert-il ?
Même si ça ne figure pas toujours de manière explicite dans le cahier des charges, ça va de soi que le code applicatif, surtout s'il a vocation à être exposé sur Internet, doit être un minimum sécurisé. Sinon on peut dire que le développeur est incompétent, ne se met pas à la page et néglige les normes en vigueur qui font consensus dans le milieu de l'IT (et pour cause).

Bien sûr, en dépit de tous nos efforts, il peut arriver plein de choses mais c'est justement le fait de respecter certaines bonnes pratiques qui peut nous protéger des retombées en cas d'incident. Celui qui s'est efforcé d'effectuer le travail correctement aura une défense plus efficace que celui qui a été délibérément négligent.

Sinon, c'est comme si on reprochait au boulanger de ne pas avoir du bon matériel pour travailler.

Un meilleur exemple serait l'intoxication alimentaire causée par le non respect des normes sanitaires et réglementaires (hygiène). Un établissement de restauration ou une usine qui sert de la nourriture avariée risque la fermeture administrative et toutes sortes de désagréments. Les exemples ne manquent pas.

En informatique aussi on a cette notion de normes d'hygiène, on appelle ça les best practices par exemple.