Le Ponemon Institute a interrogé prés de 2000 RSSI aux États-Unis, Royaume-Uni, France, Allemagne, et en Australie dans les entreprises de toutes tailles, entre 100 et 5 000 employés. Un des points saillants de cette étude porte sur un sujet largement rebattu dans ce type d’enquête, le manque de soutien et de compréhension de la part des dirigeants.
Plus précisément, cette communication défaillante est le fait des plus petites unités de travail avec un peu plus du tiers d'entre elles (35 %) dans lesquelles les équipes de sécurité et leurs responsables se plaignent du manque d’écoute de leurs dirigeants. Un problème qui ne concerne que 23% des répondants dans les grandes entreprises de 2500 à 5000 salariés. Il est vrai que ces dernières disposent de budgets et de personnel beaucoup plus importants. Un quart du panel de l’enquête de Ponemon Institute considère même que les cadres dirigeants dans les petites entreprises ne sont pas au courant des dernières menaces.
Le graphique ci-dessous synthétise les résultats sur la prise en compte des défis en matière de cybersécurité dans les organisations de toutes tailles. Noter que la notion de sécurisation de la chaîne d’approvisionnement est vue à part égales dans tous les types d’entreprise. Encore faudrait-il s’assurer de la pertinence des réponses sur ce thème pointu.
Faire comprendre les enjeux de la cybersécurité à la direction en termes clairs
Dans le guide de Barracuda « The CISO script: How to talk to business leaders about security risk » qui donne quelques clés pour faire passer les bons messages à la direction et aux équipes, Riaz Lakhani, CISO de Barracuda, décrit les trois profils de personnes avec qui tout RSSI doit discuter sur les problèmes de sécurité numérique.
D’une part, il s’agit des collègues tels les ingénieurs, développeurs, chercheurs en sécurité. Concrètement, ce sont les personnes sous astreinte susceptibles d’être appelés à 2 heures du matin dans une situation de crise. Au préalable, cela passe par des relations solides afin d’échanger directement et sans faux-semblants.
D’autre part, avec les cadres supérieurs des fonctions de l’ingénierie, de la finance et du juridique qu’il faut sensibiliser. Le but est, notamment, de les informer sur le récent développement des menaces et sur le plan d’actions à mettre en place, en particulier sur le respect des règles de conformité.
Enfin, il faut faire passer les bons messages à la direction et au Comex, sachant que chaque entreprise intègre des sensibilités différentes. L’objectif est de savoir trouver les bons termes, clairs et explicites pour capter leur attention.
Le secteur financier, le plus convoité par les pirates, est le mieux sécurisé et règlementé. Seules 3% des entreprises dans ce domaine n'ont pas de plan de réponse aux incidents.
Dans le secteur du commerce de détail, qui comprend les centres de distribution et d'expédition, les chaînes d'approvisionnement de la production et les magasins de détail, les acteurs ne sont pas aussi confiants que les services financiers. Ainsi, 39 % d'entre eux jugent que la sécurité numérique est relativement inefficace. La difficulté à sécuriser la chaîne d'approvisionnement est citée par 35 % du panel.
L’institut national américain des normes et technologies (NIST) produit des listes de contrôles et de procédures de sécurité afférentes qui peuvent inspirer les RSSI. Reste à les mettre en musique par les équipes.
