Pandémie, transformation numérique, cloud, télétravail : autant de facteurs à l’origine d’une flambée du cyber-risques. Pour lutter efficacement contre ces cybermenaces, les directions business et IT doivent trouver un terrain d’entente.
Selon le FBI, les pertes financières des entreprises US ayant essuyé des cyberattaques s’élèvent à 4 milliards de dollars en 2021. Un chiffre édifiant entièrement dû au contexte particulier de la pandémie qui aura poussé les entreprises à opérer une transformation numérique dans l’urgence. Ainsi, selon une étude menée dans plus de 26 pays par Sapio Research, auprès de 5321 décisionnaires business et IT, 80% des entreprises s’appuient désormais sur un Cloud Hybride et 92% affirment même avoir une stratégie multi-Cloud. Un fait qui n’est pas sans conséquence : sur la même période, Trend Micro aurait déjoué plus de 63 milliards de menaces sur l’ensemble de l’année 2020 et près de 41 milliards d’attaques rien que sur le premier semestre 2021.
Ces modifications du Système d’Information réalisées dans l’urgence ouvrent sans conteste la porte aux cybermenaces. Les frontières physiques sont rapidement gommées au profit d’environnements multicloud pendant que les DSI tardent à adapter les mesures de protection nécessaires.
Une véritable aubaine pour les cyber-délinquants qui n’hésitent pas à saisir leur chance au vol. Ainsi le nombre de ransomwares a crû exponentiellement en 2020 avec une progression de plus de 150% d’une année sur l’autre pendant que les montants extorqués doublaient.
Un fossé entre Business et IT
On pourrait penser qu’une telle situation mènerait à de meilleures relations entre décisionnaires business et IT. Et que l’obtention de budgets adaptés serait d’autant facilitée. Pourtant ce n’est pas la tendance que montre les résultats de l’étude Sapio Research. 90%des décideurs IT affirment que leur Direction compromet la cybersécurité en faveur de la transformation digitale, de la productivité ou d’un quelconque autre projet :
- 42% des entreprises dépensent essentiellement pour atténuer les risques de cyberattaques et maîtriser ainsi les conséquences sur l’activité́ commerciale,
- 36% investissent pour accompagner la transformation numérique,
- 27% financent l’évolution de leurs collaborateurs,
- 49% a récemment augmenté ses investissements pour atténuer les risques de violation de sécurité et d'attaques par rançongiciels.
Une moitié des décisionnaires IT pense même que le personnel dirigeant n’est pas totalement conscient des cyber-risques encourus. Certains sont plus pessimistes encore avec 26% d’entre eux qui présument que les membres du conseil d’administration ne se sont pas suffisamment penchés sur la question alors que 20% estiment qu’ils refusent de comprendre voire qu’ils imaginent faire simplement face à un problème technique insoluble.
Pressions & Mésentente
Une tension entre la Direction et le service IT bien loin de s’atténuer. Une écrasante majorité, 85%, affirme subir des pressions pour minimiser la gravité des cyber-risques devant le comité d’administration. Même une pression permanente selon un tiers d’entre eux.
Cette mésentente s’étend également au rôle de chacun. Pour une DSI, la gestion du risque de la sécurité de l’information lui revient en dernier recours alors que leurs homologues, côté business, sont deux fois moins nombreux à voir les choses de cette façon.
Utiliser le même langage
Direction et Décisionnaires IT doivent donc trouver un terrain d’entente pour que les cyber-risques soient pris en compte à leur juste valeur. La quasi-moitié des personnes interrogées estiment que tant que le cyber-risque sera considéré sous l’angle du problème IT, il sera difficile d’allouer un budget à bon escient et donc de lutter efficacement contre les menaces.
Seuls 57% des décisionnaires IT déclarent échanger sur le risque cyber avec leur Direction au minimum une fois par semaine. Et ils sont plus nombreux à penser que pour améliorer la situation, seule une attaque pourrait changer la donne (62%) ou une demande expresse des clients pour un meilleure niveau de sécurité (61%).
En d’autres termes, lorsque les risques IT seront transformés en risques business, le dialogue pourra enfin débuter entre les deux parties estiment les analystes de Trend Micro. Une équipe dirigeante doit bien comprendre les cyber-risques pour mettre au point une stratégie adéquate. Selon l’étude, seuls un peu moins de la moitié des personnes interrogées (46%) déclarent que le cyber-risque et la gestion de la menace sont bien intégrés au sien de leur société.
La solution ? 77% des responsables IT estiment que cela devrait passer par l’intégration des Pdg (38%), des Directeurs financiers (28%) et des Directeurs Marketing (22%) dans le processus de gestion et de diminution des cyber-risques.