Les cadres dirigeants sont-ils en mesure de comprendre les menaces pour mieux faire face aux cyberattaques ? Cette question qui est posée dans un rapport d’étude publié par Kaspersky, et menée auprès de cadres supérieurs/dirigeants (C-suite), mérite d’être posée, tant il apparaît que les cadres dirigeants ne comprennent pas clairement la terminologie de la cybersécurité. N’appréhendant pas la signification des termes, ils ne peuvent pas se faire une idée claire de la menace, ce qui peut conduire à des décisions erronées.
L’étude révèle que les dirigeants sont généralement conscients de la fréquence des attaques contre leurs entreprises, mais que le langage et la terminologie utilisés pour décrire les menaces cyber sont tout simplement trop opaques pour être interprétés correctement et ne sont généralement pas compris. Le constat est dressé par les intéressés eux-mêmes, mais aussi par les spécialistes qui travaillent avec eux : près de la moitié des responsables de la sécurité (48 %) interrogés ont déclaré que le jargon spécialisé et les termes technologiques consacrés sont déroutants et constituent le principal obstacle à la compréhension de la cybersécurité par les équipes de direction au sens large, et à la façon dont elles doivent s'y prendre pour faire face aux menaces.
Concernant les intéressés eux-mêmes, 38 % des dirigeants interrogés (près de 45 % des dirigeants français) ont déclaré que le vocabulaire de base de la cybersécurité, des termes tels que "malware", "phishing" et "ransomware" prêtent à confusion. En outre, les restrictions budgétaires ne permettent pas de combler ce déficit de connaissances
pour 47 % des répondants au global et 52 % en France. Logiquement, il se concrétise par un manque de formation, qui, pour 43 % des répondants (51.5 % en France), est un autre frein majeur qui explique les lacunes des cadres supérieurs en matière de cybersécurité.
Où s’informent les cadres dirigeants ?
À défaut de formation, les cadres dirigeants sont livrés à eux-mêmes en ce qui concerne les sources et les modalités de veille informationnelle et d’amélioration de leurs connaissances. Selon l’étude, et mis à part quelques spécificités régionales, les responsables dépendent très largement des sites d’information, des blogs et des réseaux sociaux pour entretenir leur savoir. Près de la moitié des répondants (47 % en général et près de 60 % en France) a déclaré se fier à ces sources sur la cybersécurité et aux sites d'informations accessibles au public pour recueillir des renseignements sur les tendances en matière de cybersécurité, ceci afin d'en discuter au travail.On aurait pu penser que les services informatiques en général, et les services de cybersécurité en particulier, pourraient servir de vulgarisateurs, expliquant les concepts et la terminologie aux cadres dirigeants, mais cela ne semble pas être le cas, du moins pas dans les grandes entreprises. Selon l’étude, 14 % des cadres dirigeants travaillant dans des entreprises de plus de 5 000 employés ont déclaré que la cybersécurité est rarement un point à l'ordre du jour lors des réunions de direction ou des conseils d'administration.
À titre de comparaison, ils sont seulement 3 % dans les entreprises de 1000 à 2999 employés.
Une déconnexion entre les sachants et les décideurs
Ces résultats mettent en évidence le fait que plus l’organisation est grande, plus la déconnexion entre ceux qui ont des connaissances techniques et les décideurs est grande, « ce qui suggère un échec à exprimer les enjeux relatifs à la cybersécurité dans la langue des affaires, de sorte qu’ils soient compréhensibles pour les dirigeants ».Cependant, si le constat apparaît avec évidence, la conclusion de l’étude ne prend pas assez en compte l’utilité de la terminologie métier. « Nos données suggèrent que la cybersécurité, à des degrés variables selon l’emplacement géographique, est une industrie qui se parle à elle-même, utilisant un langage qui peut être incompréhensible pour ceux qui n’ont pas de formation spécialisée en sécurité », affirment les rédacteurs du rapport.
C’est une erreur selon nous, car une terminologie complexe, un glossaire métier en somme, permet aux spécialistes de se comprendre, de délimiter avec précision un cadre référentiel normalisé. La terminologie englobe les notions et les définitions fondamentales utilisées par un corps de métier. Elle ne laisse pas de place à l’imprécision ou à l’approximation, parce qu’en cas d’urgence (une compromission en cybersécurité), la précision de la terminologie permet de délimiter le champ d’action, ce qui fait gagner du temps et permet de sauver ce qui peut l’être.
Et ceci est vrai pour tous les métiers, particulièrement les métiers dangereux ou qui comportent des risques. Lors d’un stage de voile, j’ai demandé à mon moniteur pourquoi il fallait apprendre le nom et la fonction de chaque équipement du bateau et de chaque manœuvre. « Si le skipper te demande d’abattre et que tu lofes, ça peut se terminer dans les rochers ou sur le dos », me répondit-il prosaïquement.