Tenable publie une étude, effectuée par Forrester Consulting, révélatrice quant à la connaissance que peuvent avoir les dirigeants sur la sécurité, donc le niveau de vulnérabilité, de leurs entreprises. « Les dirigeants veulent avoir une image claire du niveau de risque encouru par leur entreprise et de son évolution pour pouvoir planifier et appliquer des stratégies d’entreprise, explique le rapport. Mais seulement quatre responsables sécurité français sur dix déclarent pouvoir répondre en toute confiance à la question fondamentale “Quel est votre niveau de sécurité ou de vulnérabilité ?”, malgré la prévalence des cyberattaques affectant l’activité ».
« La cybersécurité doit évoluer en tant que stratégie commerciale, explique le rapport. Cela ne peut pas se faire tant que les responsables de la sécurité n’ont pas une meilleure visibilité sur leurs surfaces d’attaque ». En effet, un peu plus de la moitié des responsables de la sécurité indiquent que leurs services de sécurité ont une compréhension et une évaluation globales de l’ensemble des surfaces d’attaque de leur entreprise, et moins de 50 % déclarent que leurs services de sécurité utilisent des mesures de menaces contextuelles pour mesurer le risque cyber de leur entreprise. Cela signifie que leur capacité à analyser les risques cyber, à établir des priorités et à mettre en œuvre des mesures correctives en fonction de la criticité des actifs et du contexte de la menace, est limitée.
Des stratégies partiellement alignées sur les risques
Au niveau international l’étude révèle que moins de 50 % des responsables de la sécurité du SI affirment inscrire les menaces de cybersécurité dans le contexte d’un risque spécifique pour l’entreprise. Par exemple, même si 96 % des participants ont mis au point des stratégies de réponse à la pandémie du Covid-19, 75 % des dirigeants et des responsables sécurité admettent que leurs stratégies de réponse n’étaient que partiellement alignées.
Forrester Consulting a réalisé cette enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants et a mené des entretiens téléphoniques avec cinq dirigeants et responsables sécurité, afin d’étudier les stratégies et les pratiques de cybersécurité appliquées dans les entreprises moyennes à grandes en Australie, au Brésil, en France, en Allemagne, en Inde, au Japon, au Mexique, en Arabie saoudite, au Royaume-Uni et aux États-Unis. L’étude a été réalisée en avril 2020.