Forrester Consulting a conduit une enquête pour le compte de VMware Carbon Black sur le comportement des équipes en charge de la Cyber. Une analyse chiffrée des relations entre Board et Opérationnels.
Le Cabinet d’études a réalisé un état des lieux sur l’évolution des relations entre équipes IT et Sécurité qui doivent lutter de concert pour défendre au mieux le Système d’Information (SI). Les résultats livrés en seconde partie du rapport « 2020 Cybersecurity Outlook Report » concernent 624 personnes en charge de la stratégie Sécurité et des prises de décision concernant son application. Au niveau des priorités, ces deux équipes s’accordent parfaitement sur leur Top 3 des tâches à effectuer : prévention des brèches de données, efficacité et Résolution des incidents sont à l’ordre du jour.
Aligner les stratégies IT et Sécurité
Toujours au diapason, 55% des répondants, toutes catégories confondues (opérationnels et Membres du Directoire, IT comme Sécurité) classent au premier rang de leurs préoccupations sur les 12 prochains mois le « pilotage de la collaboration et l’alignement des stratégies entre équipes IT et Sécurité ». A noter, en 4ème position des tâches à accomplir, que seuls 40% des membres de l’IT penchent pour simplifier leur environnement alors qu’ils sont 7% de plus côté Sécurité à désirer la même chose. En revanche, ce sont les représentants du Board qui mènent la danse avec 52% d’entre eux qui mettent en second choix « une stratégie proactive de réponse/chasse aux menaces ». Soit 11% de plus que chez les opérationnels. Idem pour le troisième choix, « Déplacer dans le Cloud infrastructures et applications », 53% du Directoire concerné ont voté dans ce sens versus 42% seulement des opérationnels.
Rapports entre IT et Sécurité à améliorer
Globalement, 77,4% des répondants, IT comme Sécurité, affirment avoir de mauvaises relations. En ne considérant que les avis des opérationnels de ces deux équipes, ils sont 77,1% à penser la même chose alors que du côté du Directoire, seuls 53,7% des DSI et RSSI ont des avis négatifs sur leurs relations. Beaucoup de travail est encore à faire pour harmoniser les rapports entre les deux services.
Dans le détail, certaines tâches posent tout particulièrement des problèmes entre les équipes. Parmi les plus sujettes à caution, mentionnons le « maintien d’une hygiène IT », « l’intégration de produits sécurité » ou encore le « maintien d’intégrations technologiques » qui, avec respectivement 73%, 73% et 70 % des avis des répondants, se situent dans le haut du tableau des sujets posant problèmes.
Des équipes sous-dimensionnées
Que ce soit dans les services IT ou Sécurité, pratiquement la moitié des personnes concernées (à hauteur de 49%), se plaint d’être en sous-effectif. Côté Sécurité exclusivement, le manque de personnel est estimé à 48% alors que pour l’IT, l’équipe n’est sous-dimensionnée qu’à hauteur de 26%. Selon l’étude, l’origine de ce mécontentement proviendrait d’une vision du Directoire non adaptée à la réalité avec seulement 31% de ses membres qui pensent que la taille des équipes soient effectivement sous-dimensionnées.
Des rapports hiérarchiques à réviser
Aujourd’hui, les RSSI rendent comptent à la DSI dans 45% des cas contre seulement 17% qui soient directement rattachés au PDG de l’entreprise. Et si l’on considère cette fois les souhaits de chacun, 37% des répondants affirment que le RSSI devrait être sous les ordres du Dirigeant de l’entreprise contre 26% qui opteraient pour le DSI. Et pourtant, près de 45% des DSI affirment que le RSSI devrait être placé directement sous le PDG contre 31% des RSSI qui opteraient pour le DSI .
Sur le terrain, les rapports du service Sécurité avec la Direction évoluent selon ce rapport. Les décisions Sécurité viennent de plus en plus de la tête de l’entreprise. Et même si les RSSI rencontrent moins souvent la Direction, le temps passé avec est largement supérieur à celui de la DSI.
L’intérêt de la Direction n’est en aucun surprenant au vu de l’importance du numérique dans le business. Le Board a besoin d’une vision globale sur les cyber-risques potentiels qu’encourt l’entreprise. En premier lieu, pour 81% des répondants, la protection de la marque est la première de ses préoccupations. Suit à hauteur de 77%, les menaces et risques de sécurité relatifs au métier. Et enfin, avec 73%, la réduction des risques et de la surface d’attaque arrivent en dernière position de ce Top 3.
Des investissements en hausse
Logiquement l’intérêt grandissant pour les sujets Sécurité et IT, les budgets suivent également. Ils sont 80 % environ à déclarer une hausse des investissements tant en IT qu’en Sécurité. Respectivement 80% et 77% ont affirmé, avoir acquis du matériel IT et Sécurité. Et pour finir, ils sont 56% à avoir investi dans du personnel IT, 69% pour des spécialistes sécurité dans les douze derniers mois.