Face à la sophistication croissante des cybercriminels et à l'augmentation de la surface d'attaque du SI des entreprises, les planètes ne semblent pas alignées sur la perception de la sécurité par les hauts dirigeants et les responsables IT. Un écart de 14 %, certes modéré, mais qui suggère qu’une partie des dirigeants extérieurs au secteur numérique ne comprennent pas tous les risques induits par la menace cyber. La capacité de l’entreprise à prévenir ou bloquer un incident de sécurité pénalisant dans les 12 mois à venir est un des sujets du rapport d’Ivanti, acteur américain de la cybersécurité.
La quasi-totalité, soit 95 % des professionnels IT et de la sécurité mentionnés dans le rapport, pensent que les menaces de sécurité vont devenir plus dangereuses en raison de l'IA. Mais malgré la montée des risques, près d'un tiers des professionnels de sécurité et IT n'ont mis en place aucune stratégie solide pour faire face aux dangers de l'IA générative. Les RSSI jouent un rôle de plus en plus essentiel dans l'entreprise, car un grand nombre de leurs décisions affectent l’organisation dans son ensemble.
La graphique ci-dessous montre l’écart de perception des risques entre les hauts dirigeants et les professionnels de l’IT.
L’état des lieux détaillé des investissements en 2024 dans les divers domaines de la cybersécurité
La gestion des vulnérabilités ne semble pas bien assimilée par les dirigeants. C’est tout du moins l’opinion de 55 % des professionnels IT et de sécurité affirmant que les dirigeants hors secteur IT ne comprennent pas vraiment la gestion des vulnérabilités. Une partie des hauts responsable de l’entreprise admettent qu’ils n’ont pas un bon niveau de compréhension de cet aspect de la sécurité numérique.Point instructif, plus de 25 % des professionnels IT disent que la gestion des correctifs est compromise par les changements de priorités des dirigeants. Un avis qui doit être cependant corroboré par d’autres études.
Côté investissements, le podium des priorités d’investissements en matière de cybersécurité est constitué à part égales par la détection et la réaction aux menaces visant l’identité (47 %) suivi de la gestion de la surface d’attaque des actifs numériques (46 %) et enfin par les outils de sécurité assistés par l’IA générative (46 %).
Vus à la loupe, les résultats du rapport d’Ivanti indique que les hauts dirigeants se concentrent davantage sur l'impact financier, légal et de perte d’image que leurs collaborateurs chargés de l’IT et de la sécurité. Plus concrètement, 24 % des dirigeants exécutifs considèrent que l'impact de la menace cyber sur la réputation est « élevé », contre seulement 15 % des CISO.
Pour autant, le conseil d’administration des entreprises aborde le sujet sensible de la sécurité pendant les réunions (86 % des réponses) cependant que les RSSI y sont conviés (84 % des répondants). Reste à savoir si leurs points de vue sont écoutés et réellement pris en compte. A cet aune, les grandes entreprises disposent de plus de moyens que les PME et TPE et elles sont globalement plus protégées que ces dernières.