L'externalisation peine à être acceptée
| Pas de plan d'externalisation | Déjà externalisée (totalement ou non) | A l'étude ou prévue | |
|---|---|---|---|
| Source : Ernst & Young | |||
| Audits | 35% | 50% | 15% |
| Tests d'intrusion | 23% | 59% | 18% |
| Tests applicatifs | 56% | 30% | 14% |
| Formation/sensibilisation | 62% | 21% | 17% |
| Vulnérabilité/patch management | 67% | 24% | 9% |
| PCA | 65% | 22% | 13% |
| eDiscovery, forensics/fraude | 66% | 19% | 15% |
| Réponse sur incident | 77% | 15% | 8% |
| Help desk | 66% | 27% | 7% |
La tendance à l'externalisation ne pénètre toujours pas, ou difficilement, la sécurité, dont beaucoup d'activités restent considérées comme stratégiques.
La réponse aux incidents et les enquêtes de type forensic ne sont externalisées que dans respectivement 15% et 19% des entreprises. Les informations associées aux incidents et failles de sécurité sont en effet particulièrement sensibles. Pourtant audits et tests d'intrusion sont externalisés dans 50% et 59% des cas. Ces parts devraient d'ailleurs encore progresser puisque respectivement 15% et 18% des entreprises envisagent de les externaliser.