41 % des cadres supérieurs belges spécialistes de la sécurité déclarent que le langage utilisé pour décrire les cybermenaces est le principal obstacle à la compréhension par l’équipe de direction. 

Si la cybersécurité est rarement à l’ordre du jour des réunions de direction, c’est qu’on ne le comprend pas. En cause, son jargon. Telle est la principale conclusion du rapport « Separated by a common language: Is the C-Suite able to truly decipher and act upon the real threat of cyber-attacks ? » de Kaspersky ( 1 800 entretiens avec des cadres supérieurs travaillant dans de grandes entreprises comptant 1 000 employés ou plus et actives dans 13 pays, dont 100 en Belgique ) . 

En Belgique, 52 % des personnes interrogées regrettent que la cybersécurité ne soit que parfois à l’ordre du jour des réunions de la direction. Plus l’entreprise est grande, plus la sensibilisation globale à la cybersécurité est faible. Le sujet est évité. 10 % des cadres supérieurs d’entreprises de plus de 5 000 employés déclarent ainsi que la cybersécurité est rarement abordée pendant les réunions de la direction ou du conseil d’administration. Dans les entreprises de 2 000 à 2 999 employés., c’est 2,5 % ! 

YARA, Suricata ? De quoi parlez-vous ?

Cette incapacité apparente des directions à comprendre les implications réelles du principal risque qui pèse sur leur organisation s’explique. Kaspersky y voit l’hermétisme du langage utilisé pour décrire les menaces. Les cadres supérieurs spécialistes de la sécurité, de la conformité et des risques le reconnaissent. 41 % d’entre eux sont persuadés que le jargon et les termes confus propres au secteur constituent actuellement le plus grand obstacle à la compréhension de la cybersécurité par la direction. Plus grave encore, les mesures qui s’imposent sont directement impactées. Seul le « manque d’outils » nécessaires est plus handicapant, selon 51 % des sondés belges. 

Pour illustrer ce point, les sondés ont déclaré qu’ils trouvaient que les termes de cybersécurité de base sont tous simplement “déroutants”. C’est le cas pour ransomware (38 %), attaques d’État-nation (35 %) et attaques de phishing (34 %). Des termes un peu plus techniques – comme « YARA » et « règles Suricata » – ont suscité une confusion similaire. Respectivement 44 % et 41 % des personnes interrogées déclarent ne pas les comprendre complètement. 

Le jargon empêche de développer une culture

Les acronymes et le jargon sont évidents pour les initiés, mais sont souvent déconcertants pour qui n’a pas une expérience directe dans la cybersécurité, estime Tim De Groot, General Manager Benelux & Nordics, Kaspersky. «  L’incapacité des cadres supérieurs à comprendre réellement la nature des menaces auxquelles ils sont constamment exposés a pour conséquence qu’elles ne sont souvent pas considérées comme une priorité ! »,

Par conséquent, des décisions sont prises sans connaître les vraies menaces sur les organisations. Sans comprendre, aussi, le risque qu’elles leur font courir. « Dans ces conditions, il est difficile de développer une culture de la cybersécurité basée sur de bonnes pratiques, le partage des connaissances et, en fin de compte, des informations exploitables. »