Les directions et les conseils d’administration sont-ils prêts à faire l’impasse sur la cybersécurité pour favoriser le télétravail, la productivité et la satisfaction client ? C’est ce que pensent les responsables informatiques, qui en viennent à s’autocensurer pour ne pas paraître négatifs.
Lorsque la crise frappe, l’impératif de survie par la continuité de l’activité s’impose à tous, et les initiatives internes sont unanimement tendues vers cet objectif commun. Mais sitôt la crise calmée, les préoccupations métier reprennent le dessus. C’est ce que semble confirmer une étude réalisée par Trend Micro. Le boom de l’économie de la cybercriminalité a permis de mesurer la gravité de la situation et le chemin qui reste à parcourir. Face à ces enjeux, on pourrait s’attendre à ce que les conseils d’administration et leurs décideurs en matière d’informatique et de sécurité poussent dans la même direction.
Cependant, l’étude de Trend Micro, Business Friction isexposing organisations to cyber threats, démontre le contraire. « Les fonctions business et informatique n’ont jamais semblé aussi éloignées, affirme le rapport. Pour qu’elles soient sur la même longueur d’onde, il faudra améliorer la visibilité des menaces et peut-être même modifier la structure de la fonction de sécurité. Mais surtout, il faudra un changement de culture, pour que la sécurité fasse partie intégrante de toutes les activités de l’entreprise ».
Pour éviter le syndrome de Cassandre, les RSSI s’autocensurent
Depuis que la cybersécurité est devenue une des priorités du conseil d’administration ou de la direction, il semblerait qu’il y a de la friture sur la ligne entre eux et les DSI-RSSI. D’après l’enquête, une majorité écrasante des responsables informatiques (90 %) est convaincue que leurs entreprises sont prêtes à faire certains compromis en matière de cybersécurité, pour se concentrer davantage sur la transformation numérique ou la productivité.
Une perception qui peut mener à une attitude coupable, selon la loi. En effet, 82 % des répondants affirment s’être déjà sentis contraints de minimiser la gravité de risques auprès de leur Conseil d’Administration. Ils préfèrent ainsi s’autocensurer au lieu de passer pour des cassandres annonciateurs de malheur. D’après l’étude, seuls 50 % des DSI et 38 % des responsables métiers estiment que leur direction a une bonne compréhension des risques cyber.
Bien que certains d’entre eux s’expliquent cette ignorance par le fait que le sujet est complexe et en constante évolution, beaucoup considèrent toutefois que la direction ne fait pas assez d’efforts (26 %) ou ne cherche pas à comprendre (20 %) les problématiques de cybersécurité.
En France, les équipes informatiques/SSI admettent travailler régulièrement avec leur direction, le sujet de la cybersécurité étant abordé conjointement au moins une fois par semaine (60 %). On notera aussi que la communication entre les responsables informatique et SSI est meilleure que dans le reste du monde. La part de responsables informatiques minimisant la gravité des cybermenaces auprès du conseil d’administration est plus faible (73 % contre 83 % au global).
Une attaque d’ampleur comme électrochoc
Cependant, le jugement sur les efforts des décideurs opérationnels pour mieux appréhender les problématiques de cybersécurité est plus sévère. Un tiers des responsables IT (31 %) considère que ces derniers ne font pas suffisamment d’efforts pour les comprendre. Par conséquent, la défiance vis-à-vis de la direction et de sa compréhension des enjeux de sécurité est avérée : plus de la moitié (54 %) a le sentiment qu’elle se désengage de ses responsabilités. Un point de vue qui est partagé par plus d’un tiers des décideurs commerciaux (38 %).Dans ce contexte, les décideurs estiment que les efforts de sécurisation sont trop sélectifs. Selon eux, ils se font au profit de la productivité (32 %), du travail hybride (28 %) et de l’expérience client (28 %).
Interrogés sur les solutions possibles, les professionnels interrogés se montrent résignés, et terriblement dans le vrai. Selon 65 % des personnes interrogées, seul l’électrochoc d’une violation d’ampleur et médiatisée inciterait leurs dirigeants à prendre conscience de l’ampleur du risque et à agir. Pour 62 %, c’est une meilleure compréhension de l’impact des cybermenaces sur l’activité de l’entreprise qui ferait avancer leur cause. Enfin, 61 % pensent que le salut viendra des clients s’ils exigeaient des justificatifs de sécurité plus stricts.