Ce que l'augmentation des dépenses de défense signifie pour le secteur de la cybersécurité

Alors que les tensions géopolitiques continuent de s’intensifier à l’échelle mondiale, 2025 a vu une augmentation spectaculaire des dépenses de défense jamais vues depuis la guerre froide.

Ces dernières semaines, les membres de l’OTAN convenu consacrer 5 % de leur produit intérieur brut aux dépenses militaires d'ici 2035. Nombre d'entre eux, dont la Grande-Bretagne, consacrent déjà plus de 2 % à leurs forces armées. Le nouvel objectif de l'OTAN est divisé en deux parties : 3.5 % pour les forces armées conventionnelles et le reste pour d'autres initiatives visant à renforcer la sécurité nationale, comme la cybersécurité.

Bien que cette période d'incertitude soit inquiétante, une augmentation des dépenses de défense peut être bénéfique, car elle injecte davantage de fonds dans le secteur privé et améliore ainsi la conjoncture économique. Les entreprises de cybersécurité, en particulier, devraient bénéficier du nouvel objectif de dépenses de l'OTAN. Mais que faut-il faire d'autre pour améliorer nos cyberdéfenses face aux menaces croissantes des États-nations ?

Les entreprises sont des dommages collatéraux

Dans un contexte de tensions géopolitiques accrues et de cybermenaces croissantes contre les États-nations, la sécurité informatique est désormais un « problème de première ligne » pour les pays de l’OTAN, leurs alliés et les organisations d’infrastructures critiques.

C'est ce qu'affirme James Lei, directeur de l'exploitation de Sparrow, une société spécialisée dans les tests de sécurité des applications. Il affirme que les entreprises fournissant des services et des ressources essentiels au fonctionnement des sociétés modernes – comme les télécommunications, la finance et l'énergie – sont désormais des cibles directes des ennemis de l'OTAN.

Lei explique qu'en attaquant de telles organisations, les adversaires de l'OTAN ne cherchent pas seulement à voler des données sensibles pour les revendre au plus offrant. Ils cherchent également à « perturber les économies » et à « saper la confiance du public » en cherchant à infliger un maximum de dégâts à leurs cibles. Il ajoute : « Les entreprises deviennent ainsi à la fois des cibles directes et des victimes collatérales. »

Compte tenu de ces risques, Lei exhorte les gouvernements nationaux à allouer « une part significative » de leurs budgets de défense accrus pour aider les petites et moyennes entreprises à contrer le risque croissant de cyberattaques des États-nations.

Lei affirme que les PME, en particulier celles considérées comme des fournisseurs d'infrastructures nationales critiques, n'ont peut-être pas les budgets nécessaires pour investir dans des systèmes de cybersécurité sophistiqués ou recruter des cyberspécialistes en interne, ce qui crée des « points faibles dans l'écosystème cybernétique national ». Il déclare à ISMS.online : « Un financement pourrait aider les PME à accéder à de meilleurs outils de sécurité, à des formations et à des informations sur les menaces, ce qui bénéficierait à la résilience de l'ensemble du pays. »

Ces inquiétudes sont partagées par Adam Brown, consultant en sécurité chez une société de sécurité des applications. Black Duck Il explique qu’il y a 30 ans, les cyberattaques auraient eu un impact minimal sur la population générale.

Mais comme les infrastructures numériques jouent un rôle essentiel dans la vie moderne, les cyberattaques peuvent être extrêmement dommageables, affirme-t-il. Et comme les services et infrastructures numériques sur lesquels nous comptons sont principalement créés et vendus par des entreprises commerciales, ils sont devenus des cibles privilégiées pour les cyberattaques des États-nations.

Alors que la guerre fait rage en Ukraine et au Moyen-Orient, Chris Binnie, consultant en sécurité cloud native, s'attend à une augmentation continue des cyberattaques lancées par les États-nations. Il s'inquiète notamment de la prolifération des attaques visant les chaînes d'approvisionnement.

Il affirme que les États-nations pourraient considérer cela comme un moyen « plus facile » de pirater les systèmes des fournisseurs d’infrastructures critiques, car leurs fournisseurs informatiques pourraient ne pas posséder les « mêmes pratiques de sécurité rigoureuses ».

Faire face à ces risques

Alors que les États-nations exploitent de plus en plus les faiblesses de la chaîne d’approvisionnement pour compromettre les infrastructures critiques, les organismes gouvernementaux et industriels en prennent note.

L'Union européenne, en particulier, adopte une position ferme sur les efforts de cybersécurité de la chaîne d'approvisionnement par le biais de lois telles que la Loi sur la résilience opérationnelle numériqueLoi sur la cyber-résilience et Directive sur la sécurité des réseaux et de l'information 2.

Brown explique qu’en vertu de ces lois, les entreprises fournissant des services cybernétiques aux organisations d’infrastructures nationales critiques sont obligées de combler toute faiblesse en matière de cybersécurité en suivant des procédures de cybersécurité strictes.

Normes industrielles telles que ISO 27001Les normes ISO 22301 et ISO 42001 fournissent également aux entreprises une base de référence qu’elles peuvent suivre pour se protéger des cybermenaces géopolitiques et, en fin de compte, protéger leurs opérations, leurs données et leurs chaînes d’approvisionnement des pirates informatiques des États-nations.

Young de TSG Training explique que la norme ISO 27001 couvre la sécurité de l'information, la norme ISO 22301 traite de la continuité des activités et, plus récemment, la norme ISO 42001 a été introduite pour contrer les cybermenaces alimentées par l'IA.

Il suggère qu’en adhérant à de telles normes, les fournisseurs informatiques tiers cherchant à obtenir des contrats auprès d’organisations d’infrastructures nationales critiques peuvent montrer qu’ils prennent la cybersécurité au sérieux et qu’ils ont mis en place des mesures solides pour atténuer les risques liés à la chaîne d’approvisionnement.

Une opportunité pour les entreprises

Bien que de nombreuses entreprises soient devenues des victimes collatérales des cyberattaques menées par des États-nations, certaines pourraient en réalité bénéficier d’une augmentation des dépenses de défense, les pays cherchant à atténuer ce risque.

Les gouvernements nationaux comptent sur les entreprises pour maintenir leur résilience numérique et, dans le cadre de leurs budgets de défense, ils consacreront sans aucun doute davantage de fonds à l'amélioration de leur cyberdéfense. Cela représente de nombreuses opportunités pour le secteur privé.

John Young, consultant principal chez TSG Training, fournisseur de formation informatique, affirme que les entreprises du secteur privé auront un rôle déterminant à jouer pour aider les membres de l'OTAN à renforcer leur cybersécurité et, en fin de compte, leur sécurité nationale globale.

Il explique à ISMS.online : « Le partage de renseignements sur les menaces entre les entreprises, les organismes gouvernementaux et les partenaires internationaux renforce la sensibilisation globale et permet des réponses plus rapides aux nouvelles menaces. »

À l'instar de Young, Lei de Sparrow estime que l'OTAN ne peut répondre aux multiples cybermenaces actuelles sans collaborer avec le secteur privé. Il souligne que les entreprises privées possèdent et exploitent de nombreux services essentiels utilisés par les gouvernements. C'est pourquoi, selon lui, les gouvernements se tournent vers le secteur privé pour obtenir des renseignements sur les menaces et réagir aux incidents.

Chris Henderson, responsable de la sécurité de l’information chez Huntress, la plateforme de cybersécurité gérée, est un autre fervent partisan de la collaboration entre les secteurs public et privé dans la lutte contre les cybermenaces des États-nations.

Il affirme que, grâce à ces partenariats, les gouvernements peuvent exploiter les renseignements sur les menaces en temps réel fournis par les organisations du secteur privé pour suivre le rythme de l’évolution rapide du paysage des cybermenaces.

Pour que de tels partenariats soient un succès, Henderson exhorte les organisations du secteur privé à s’assurer que les renseignements qu’elles partagent avec les organismes gouvernementaux sont formatés de manière à ce que les systèmes informatiques exploités par le gouvernement puissent analyser les données et en tirer rapidement des informations exploitables.

Les gouvernements doivent eux aussi contribuer à l'efficacité de ces partenariats. Henderson affirme notamment que les organisations du secteur privé doivent pouvoir diffuser des informations sur les cybermenaces sans être freinées par la bureaucratie réglementaire. Cela, selon lui, est essentiel pour garantir une « réaction rapide » face aux « menaces nouvelles et critiques ».

Conclusion

Voir les gouvernements augmenter leurs dépenses de défense est effrayant, car on s'interroge sur ce qu'ils savent et sur ce qui pourrait arriver. Mais c'est une nécessité absolue pour assurer la sécurité des pays dans un contexte de mutation rapide. Cela dit, les dépenses de défense ne se limitent pas à l'achat de chars ou de missiles supplémentaires : nos ennemis peuvent infliger des dégâts tout aussi importants par des cyberattaques contre des infrastructures critiques.

Il est donc encourageant de voir les membres de l'OTAN accepter d'allouer une part significative de leurs budgets de défense accrus au renforcement de leur cyberdéfense. Parallèlement, cela ouvrira des opportunités aux entreprises de cybersécurité du secteur privé. Cependant, outre l'augmentation des dépenses consacrées à la cyberdéfense, une étroite collaboration entre les secteurs public et privé est essentielle pour garantir l'efficacité de ces projets à long terme. N'oublions pas que de nombreuses entreprises sont aujourd'hui victimes collatérales des turbulences géopolitiques, ce qui signifie qu'elles ont elles aussi besoin de soutien.