De toutes les technologies de l’information qui font partie des priorités des entreprises, la cybersécurité est celle qui devrait le plus structurer l’évolution du SI. Outre les attaques incessantes, l’évolution de la règlementation européenne (NI22, DORA…) devraient servir de catalyseurs à une intégration plus poussée de la pile technologique afin de proposer des offres standardisée. Celles-ci seront accompagnées de services qui varient en fonction de la taille et du secteur de leurs clients, ce qui permettra aux fournisseurs de se différencier sur un marché où la standardisation permettra d’ouvrir le marché aux PME et TPE.
Dans ce schéma d’évolution, les conseils d'administration sont en première ligne car il s’agit non seulement de protéger les actifs numériques de l’entreprise, et la confidentialité des données, mais aussi la réputation de l’entreprise et sa conformité avec les lois en vigueur. Un nouveau rapport de Proofpoint, intitulé "L'approche des conseils d'administration en matière de cybersécurité en 2023", a analysé les réponses de membres de CA de douze pays différents pour comprendre leur point de vue sur le paysage des menaces, le rôle du RSSI et l'univers de la cybersécurité au sens large.
56 % des administrateurs français interagissent régulièrement avec leur RSSI
Le rapport révèle que les membres de CA ont une bonne compréhension des niveaux de risque et des menaces courantes en matière de cybersécurité : 80 % des membres de conseils d’administration interrogés estiment que leur organisation court un risque de cyberattaque d’envergure, contre 78 % en 2022. Un gros tiers, soit 36 % d’entre eux, jugent même ce risque très probable. Ils sont 46 % à estimer que leur organisation n’est pas préparée à faire face à une cyberattaque. C’est ce qui explique l’augmentation prévue des budgets de cybersécurité et une collaboration plus étroite entre eux et les RSSI.Pas moins de 56 % des administrateurs français déclarent interagir régulièrement avec leurs responsables de la sécurité (53 % au niveau mondial). Bien qu’il s’agisse d’une augmentation par rapport à l’année dernière (51 % en France contre 47 % dans le monde), près de la moitié des conseils d’administration n’entretient toujours pas d’échanges réguliers avec leurs RSSI.
Les RSSI et les membres de CA sont également sur la même longueur d'onde en ce qui concerne les menaces auxquelles ils sont les plus susceptibles d'être confrontés. Les compromissions de comptes cloud et les menaces internes figurent parmi les principales préoccupations des RSSI comme des membres de CA. Le top 3 des principales sources d'inquiétude des membres de CA, à savoir les maliciels (40 %), les menaces internes
(36 %) et les compromissions de compte cloud (36 %), a légèrement évolué par rapport à l'année dernière, où ils citaient la fraude par email/BEC (41 %), les compromissions de comptes cloud (37 %) et les rançongiciels (32 %).
Le CA plaide pour un renforcement de la collaboration avec les RSSI
Toutefois, s’ils ont conscience des enjeux de la cybersécurité pour la réputation et les finances (extorsion, amendes, perte d’actifs…) de l’entreprise, l'impact sera toutefois limité si les RSSI ne sont pas écoutés et, surtout, compris. De fait, les conseils d’administration expriment le désir d’un renforcement des échanges avec les RSSI. Ceci même si une majorité ne maîtrise pas suffisamment les concepts technologiques de la sécurité cyber. Seulement 64 % des membres de CA déclarent comprendre suffisamment les questions de cybersécurité pour avoir une discussion éclairée avec le RSSI.Près d'un tiers des membres de CA déclarent qu'ils ne voient le RSSI que dans le cadre d'un rapport ou d'une présentation spécifique. Par ailleurs, seulement 53 % des membres de CA indiquent qu'ils interagissent régulièrement avec les responsables de la cybersécurité. Bien que ce chiffre soit légèrement en hausse par rapport aux 47 % de l'année dernière, près de la moitié des conseils d'administration n'ont toujours pas établi une relation solide entre le RSSI et l'équipe de direction. Il s'agit d'un obstacle majeur. Des interactions régulières sont essentielles pour instaurer une relation de confiance et nouer des liens.
Les membres de CA pensent que les mesures les plus efficaces que peuvent prendre les RSSI pour renforcer leurs relations avec le conseil d'administration incluent la communication des risques en termes métier, la liaison des initiatives de sécurité à la valeur métier et la fourniture d'informations plus complètes sur les menaces. Les membres de CA estiment également que les DSI et les équipes à plus large échelle doivent pallier l'absence des RSSI lorsque ceux-ci sont occupés sur des questions opérationnelles.