Les cyber-attaques, qui se sont multipliées ces derniers temps, ont marqué les esprits des membres du Conseil d'administration des entreprises, qui en font désormais une de leurs top-priorité mais affichent leur manque de confiance.

Qu'il s'agisse des dirigeants de l'entreprise, ceux que les américains nomment la C-suite (CEO, CFO, CMO, CIO, etc.), ou des membres de son Conseil d'administration, la cyber-sécurité est venue se placer en quelque mois à la tête de leurs préoccupations.

Le board craint les cyber-attaques

Ayant interrogé 184 patrons de grandes entreprises, l'éditeur de solutions de sécurité Veracode et les services gouvernance du NYSE (New York Stock Exchange) ont découvert qu'un Conseil d'administration sur 2 (46%) a discuté des problématiques de sécurité, et qu'un sur 3 (35%) en a fait un sujet prioritaire à chacune de ses réunions.

L'inquiétude est réelle, d'autant que 2 Conseils d'administration sur 3 (66%) ne font pas confiance dans leur entreprise et pensent qu'elle n'est pas suffisamment sécurisée pour affronter une attaque. Seuls 29 % des Conseils ont confiance dans les efforts consentis par leur organisation en matière de cyber-sécurité !

Le positionnement ambiguë du board

Plus que la prise de conscience du risque, c'est le manque de confiance des membres du board envers les responsables de leur entreprise qui surprend. Probablement le résultat d'un manque d'information… Encore faut-il qu'ils adhèrent à cette démarche, car ils ne sont que 11 % à souhaiter recevoir une description complète des technologies de sécurité déployées dans l'entreprise, au profit de chiffres pour 31 % et de description des risques pour 33 %.

Il apparaît en fait que le board ne veut pas entendre parler de technologie, qu'ils ne font pas confiance dans le firewall ou le chiffrement, mais qu'ils veulent que leur entreprise adopte une stratégie de haut vol. Dans ces conditions, l'adéquation entre les budgets alloués à la sécurité et la réduction des risques de sécurité échappe aux membres du board, ce qui explique en partie pourquoi les budgets sécurité n'augmentent pas alors que le risque ne cesse de progresser et de se faire menaçant.

Qui est responsable ?

Le peu d'intérêt que porte le Conseil d'administration à la stratégie de sécurité de l'entreprise, alors qu'il affiche son inquiétude face aux cyber-attaques, provient également probablement de la responsabilité qu'il n'a pas à porter. Car si on interroge les membres du board sur « qui est responsable en cas de cyber-attaque ? », la réponse pointe immédiatement le CEO (PDG), qui en effet est juridiquement responsables des pratiques de l'entreprise et des conséquences des attaques, suivi du CIO (DSI), de l'ensemble de l'équipe des cadres dirigeants (C-suite), et enfin du CISO (Chief Information Security Officer ou RSSI).

Le message du board est très clair : avoir peur des cyber-attaques et en faire sa top priorité, OUI, mais affirmer et prendre sa part de responsabilité, NON !