Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Cybersécurité : des dirigeants peu engagés…

Fév 11, 2022 | Cyber Security | 0 commentaires

Les dirigeants peinent à s’emparer vraiment du sujet de la cybersécurité, une situation qui expose les entreprises à des risques accrus. 

Des dirigeants peu engagés, danger ! Pour 49 % des 5300 responsables informatiques et commerciaux interrogés par Sapio Research dans 26 pays pour Trend Micro, les cyber-risques sont toujours traités comme un problème IT plutôt que comme un risque métier !  Pour 62%, le seul cas où le comité de direction se saisirait réellement du sujet est la survenue d’une cyberattaque. Mais pour 61%, une demande émanant des clients de l’entreprise serait aussi un bon levier.

Intitulée Business friction is exposing organisations to cyber threats’, l’étude révèle que le faible engagement des entreprises en matière de sécurité informatique pourrait nuire aux investissements réalisés et exposer ces dernières à des risques accrus. Un peu plus tôt, Trend Micro avait livré d’autres indicateurs dans la même ligne. Seuls 50 % des CIO et 38 % des responsables métiers estiment que leur direction a une bonne compréhension des risques cyber. Bien que certains d’entre eux se l’expliquent par le fait que le sujet est complexe et en constante évolution, beaucoup considèrent toutefois que la direction ne fait pas assez d’efforts (26 %). Ou ne cherche pas à comprendre (20 %) les problématiques de cybersécurité.

Il est urgent de communiquer !

Pourtant, malgré l’inquiétude suscitée par l’explosion des menaces, seules 57 % des équipes informatiques interrogées déclarent échanger au moins une fois par semaine sur les risques cyber avec leur direction.

« Une fois découvertes, les vulnérabilités mettaient auparavant des mois avant d’être exploitées par les attaquants, explique Nicolas Arpagian, Director Security Strategy, Trend Micro. Aujourd’hui, cela peut prendre moins de quelques heures. Si la plupart des dirigeants ont désormais compris qu’il relève de leur responsabilité d’être informés, ils se sentent souvent dépassés par la rapidité avec laquelle évolue le paysage des menaces. Il est donc primordial que les responsables IT communiquent avec leur conseil d’administration pour que ce dernier comprenne où se situent les risques et comment il est possible de mieux les appréhender. »

Une tendance à occulter… et à payer !

Certes, les investissements en matière de cybersécurité ne cessent de croître. Ils varient toutefois selon les personnes interrogées… 42 % des entreprises dépensent essentiellement pour atténuer les risques de cyberattaques et maîtriser ainsi les conséquences sur l’activité commerciale. 36 % investissent pour accompagner la transformation numérique. 27 % financent l’évolution de leurs collaborateurs. Près de la moitié (49 %) a récemment augmenté ses investissements pour atténuer les risques de violation de sécurité et d’attaques par ransomwares.

De telles mesures, associées au faible engagement des équipes dirigeantes, suggère une certaine tendance à occulter le problème et ‘à payer‘ plutôt que de chercher à comprendre les défis de cybersécurité. Une telle approche peut nuire à l’efficacité des stratégies de sécurité et entraîner d’importantes pertes financières. Toutefois, moins de la moitié des personnes interrogées (46 %) déclare que le cyber-risque et la gestion de de cette menace sont parfaitement intégrés au sein de leur organisation.

On est loin de la culture de Security by Design !