Editeurs de solutions de sécurité : quelle image auprès des DSI et RSSI ?

Sur un marché où les acteurs sont nombreux, comment sont perçus les éditeurs de solutions de sécurité ? Best Practices a interrogé 392 managers de systèmes d’information pour connaître leur opinion.

Best Practices a souhaité mesurer l’image et le positionnement des fournisseurs de solutions de sécurité auprès de la communauté des managers de systèmes d’information. L’idée de cette étude (1) est née d’un constat : la connaissance d’une marque n’est pas toujours étroitement liée à la connaissance des solutions proposées et de l’apport de celles-ci pour répondre aux problématiques de dématérialisation dans les entreprises utilisatrices.

Autrement dit, l’objectif était de quantifier les attitudes de nombre de managers de systèmes d’information qui se résument à l’affirmation suivante : « Je connais le nom de ce fournisseur, mais je ne sais pas ce qu’il peut faire pour mon entreprise dans le cadre de ma stratégie de dématérialisation. »

Nous avons posé seulement trois questions à 392 managers de systèmes d’information, interrogés par e-mail :

  • Connaissez-vous le nom de ce fournisseur comme un acteur de la sécurité ?
  • Savez-vous ce que ce fournisseur peut faire pour votre entreprise en matière de sécurité ?
  • La visibilité de ce fournisseur sur le marché vous paraît-elle : très bonne, bonne ou insuffisante ?

Nous avons retenu quarante-deux fournisseurs parmi les plus représentatifs (*). Ceux-ci ont été classés en quatre catégories, pour chacune des questions posées (voir tableau ci-contre). La composition de l’échantillon est la suivante : 38,8 % de DSI, 17,3 % de responsables sécurité des SI, 10,2 % de responsables de projets, 5,1 % d’architectes et 28,6 % de fonctions diverses (auditeurs, responsables production, études, qualité…). Les résultats de cette enquête doivent toutefois être considérés avec trois précautions d’usage.

D’abord, l’échantillon n’est pas nécessairement représentatif de la typologie des DSI français, il s’agit de réponses spontanées. Ensuite, nous n’avons pas ciblé spécifiquement les responsables sécurité, population qui connaît par définition mieux les acteurs de la sécurité. Enfin, il faut tenir compte de la marge d’erreur inhérente à toutes les enquêtes portant sur un échantillon restreint.

1. La connaissance de la marque : reflet d’un marché très atomisé

La question de la reconnaissance de la marque aboutit logiquement à ce que les éditeurs les plus établis et ceux qui communiquent le plus (pas nécessairement le mieux…) soient cités le plus souvent. Ainsi, quasiment toutes les personnes interrogées connaissent les marques McAfee et Symantec, avec des taux de reconnaissance supérieurs à 90 %. Une dizaine d’autres fournisseurs de solutions de sécurité bénéficient d’un taux de reconnaissance supérieur à 50 %, parmi lesquels Kaspersky, F-Secure, CA Technologies, RSA Security… À l’inverse, les marques de la moitié des fournisseurs de notre échantillon, souvent des acteurs de niche, ne sont connues que par moins d’un tiers des personnes interrogées.

C’est le reflet d’une réelle atomisation du marché. Par exemple, sur le segment des antivirus, selon une étude publiée par en mars 2011 par Opswat, seulement cinq éditeurs captent 60 % de marché mondial. Une atomisation du marché des logiciels de sécurité confirmée par Gartner mi-2011 : alors qu’en 2006, les cinq premiers acteurs de la sécurité (Symantec, McAfee, Trend Micro, IBM et CA) contrôlaient 60 % du marché mondial, cette proportion est tombée à 44,3 % (avec EMC qui a ravi la cinquième place à CA Technologies), signe que de nouveaux acteurs ont capté des parts de marché aux leaders historiques.

 Typologie des éditeurs de solutions de sécurité
Catégories
 Très élevée (*)  Relativement élevée (*)  Moyenne (*) Relativement faible (*) 
Connaissance
de la marque
 McAfee – Symantec – Bit Defender – Check Point Software Trend Micro – F-Secure – CA Technologies – RSA Panda Software – Sophos – Websense – Watchguard – Netasq – Fortinet – Evidian  Acronis – Arkoon – Beeware – GFI Software – Open Trust – Safenet – Deby All – Iron Moutain – Qualys – Net IQ – Olfeo – Device Lock – Eset
– Stonesoft – Wallix …
Connaissance
de l’apport
des solutions
 McAfee – Symantec – Arkoon – Kaspersky – Websense – Trend Micro – Check-Point Software – Bit Defender  Deny All – F-Secure – Fortnet – Panda Software – RSA – Wallix – CA Technologies Netasq – Sophos – Evidian – Iron Moutain… Stonesoft – Qualys – Beeware – WatchGuard – Open Trust – Safenet – Net IQ  Acronis – Sourcefire – GFI Software…
Visibilité
perçue
 McAfee – Symantec Kaspersky – Check-Point Software – Trend Micro – Bit Defender – CA Technologies – F-Secure  Sophos – RSA – Websense Netasq – Panda Software – Fortinet – Evidian – Arkoon – Acronis – Dey All – WatchGuard – Beeware – Open Trust – Qualys – GFI Software – Iron Mountain – Olfeo – Eset – G Data
– Safanet…
Source : Best Practices Research, 2012.
(*) Légende :

  • Très élevée : connaissance de la marque supérieure à 80 % ; connaissance de l’apport des solutions supérieure à 80 % ; perception de la visibilité (bonne ou très bonne) supérieure à 80 %.
  • Relativement élevée : connaissance de la marque comprise entre 60 et 80 % ; connaissance de l’apport des solutions comprise entre 70 et 80 % ; perception de la visibilité (bonne ou très bonne) comprise entre 50 et 80 %.
  • Moyenne : connaissance de la marque comprise entre 40 et 60 % ; connaissance de l’apport des solutions comprise entre 50 et 70 % ; perception de la visibilité (bonne ou très bonne) comprise entre 40 et 50 %.
  • Relativement faible : connaissance de la marque inférieure à 40 % ; connaissance de l’apport des solutions inférieure à 50 % ; perception de la visibilité (bonne ou très bonne) inférieure à 40 %.

 

2. La connaissance de l’apport des solutions : un alignement globalement satisfaisant

Si la reconnaissance de la marque d’un fournisseur de solutions de sécurité est relativement alignée sur sa part de marché, il existe souvent un décalage entre le fait de connaître le nom d’un fournisseur et de savoir identifier ce que ses solutions peuvent apporter aux DSI et aux RSSI. Si pour McAfee et Symantec, l’alignement entre la reconnaissance de la marque et la compréhension des solutions est élevé, c’est moins vrai dans d’autres cas (par exemple Wallix, Netaq, Evidian, Iron Mountain, Olfeo…), pour lesquels un quart de ceux qui connaissent la marque ne peuvent identifier ce que ces fournisseurs peuvent faire pour leur entreprise.

La proportion tombe à la moitié ou moins pour des acteurs tels que Open Trust, Safenet, Net IQ, Acronis ou GFI Software… Globalement, pour une trentaine de fournisseurs, le taux de connaissance des solutions parmi ceux qui connaissent la marque est supérieur à 70 %, ce qui est plutôt satisfaisant. Rappelons que l’on s’intéresse ici à la vision des managers de systèmes d’information : les résultats pourraient être différents si nous avions interrogé uniquement des responsables de la sécurité des systèmes d’information.

Services de sécurité : un marché mondial à 35 milliards de dollars

En 2011, selon Gartner, le marché mondial des services de sécurité des systèmes d’information a atteint 35,1 milliards de dollars. En 2012, le cabinet prévoit un volume de 38,3 milliards et près de cinquante milliards à l’horizon 2015. Le secteur des services managés est le plus dynamique, avec un quasi doublement entre 2011 et 2015.

Marché mondial des services de sécurité des systèmes d’information (en milliards de dollars)
 Segment  2010  2011 2012 2015
 Consulting 8,6  9,6  10,3  12,1
 Développement et intégration  10,2  11,3  11,9  13,7
 IT Management  6,9  8,1  9,4  14,9
 Maintenance des logiciels  4,4  5,0  5,5  6,9
 Maintenance des matériels  1,0  1,1  1,2  1,4
 Total  31,1  35,1  38,3  49,1
Source : Gartner (novembre 2011)

3. La visibilité perçue : des déficits persistent

Comment les managers de systèmes d’information perçoivent-ils la visibilité des fournisseurs de solutions de sécurité ? On retrouve sur ce point des différences sensibles entre ceux qui sont largement présents (McAfee et Symantec), crédités de plus de 90 % d’opinions « bonne ou très bonne » à cette question, d’autres, crédités d’une visibilité relativement élevée, sans être exceptionnelle (par exemple Kaspersky, CheckPoint Software, BitDefender, CA Technologies, F-Secure, Sophos…) et, pour plus de la moitié des fournisseurs testés, une visibilité insuffisante.

Par exemple, 30 % des managers interrogés estiment que des fournisseurs tels que Wallix, Safenet, Panda Software, Watchguard ou GFI Software souffrent d’une visibilité insuffisante. Là encore, si nous avions interrogé des responsables sécurité, la visibilité perçue de la plupart des fournisseurs serait probablement apparue plus élevée, notamment pour ceux que notre échantillon considère comme souffrant d’un déficit de communication.

(*) Acronis – Arkoon Network Security – ArxSys – Astaro (Sophos) – Bee Ware – Bitdefender – CA Technologies – Check Point Software – Deny All – DeviceLock – EdenWall Technologies – ESET – Evidian – Fortinet – F-Secure – G Data – GFI Software – Ilex – Iron Mountain – Kaspersky Lab – Kleverware – LogLogic – McAfee – Netasq – NetIQ – Olfeo – OpenTrust – Panda Software – Profil Technology – Qualys – RSA Security – SafeNet – Sophos – Sourcefire – Stonesoft – Symantec – Trend Micro – Vasco Data Security – Vupen Security – Wallix – WatchGuard Technologies – Websense.