Le manque d’adhésion des conseils d’administration aux enjeux de cybersécurité exposerait encore trop fortement les entreprises. C’est le constat d’une étude internationale de Trend Micro dans les secteurs IT, industrie et finance et portant sur 2600 RSSI en Asie, Amérique du Nord, Europe et Moyen-Orient. Certes, l’étude commanditée par Trend Micro, acteur des solutions de cybersécurité est un plaidoyer pro-domo qu’il faut prendre en tant que tel mais elle met l’accent sur le problème de communication que peuvent rencontre certaines équipes de cybersécurité.
En France, moins d’un quart des entreprises disposent d’une couverture continue des risques et des lacunes existent sur la surveillance du périmètre du SI. Au niveau international, seules un tiers des organisations s’appuient sur un système
de cybersécurité 24/7.
« L'absence de leadership clair en matière de cybersécurité peut avoir un effet paralysant sur toute une organisation et conduire à une prise de décision réactive, fragmentée et erratique. » explique Nurfedin Zejnulahi, Technical Director de Trend Micro France. Excès de pessimisme ou réalité, près de la moitié des répondants (48 %) disent que leur direction ne place pas la cybersécurité dans le champ de sa responsabilité et seuls 17 % des RSSI désapprouvent cette affirmation. Il faudrait d’autres études pour corroborer ces résultats.
A la question « à qui incombe la responsabilité de la cybersécurité ? » les réponses sont instructives, chacun se renvoyant le mistigri.
Au niveau mondial, seul un tiers des RSSI (31 %) déclarent que la responsabilité incombe aux équipes informatiques de leur organisation
Le manque de clarté dans les politiques de cybersécurité des entreprises
L’étude de Trend Micro pointe que les compromissions de données signalées publiquement aux États-Unis ont atteint un niveau record l'année dernière, touchant plus de 353 millions de victimes. Reste à détailler ce résultat. Etant donné les conséquences d’une attaque réussie sur le plan financier et l’atteinte à l’image, il est impératif de combler les lacunes en matière de résilience dans ce domaine. Parmi les résultats de l’étude, les résultats qui suivent montrent qu’il reste encore du travail à faire. Ainsi, seuls 36 % des répondants s’appuient sur des ressources techniques suffisantes pour assurer une couverture cybersécurité 24/7. Plus d’un tiers, soit 35 %, utilisent des techniques de gestion de la surface d'attaque pour en mesurer le périmètre. Un chiffre qui parait faible.Quelque 34 % des interrogés utiliseraient des cadres réglementaires et des standards éprouvés, comme le NIST Cybersecurity Framework. En France, les recommandations de l’ANSSI et les règlementations européennes telles le NIS2 ou DORA poussent les organisations à renforcer leur cybersécurité.
Le manque de stratégie claire en la matière est une des explications au fait que plus de la moitié des RSSI (54 %) déplorent l’implication trop irrégulière et peu stable des dirigeants. D’après l’étude de Trend Micro, seule une perte moyenne de 133 500 £ (soit 162.000 €) ou plus inciterait la direction à agir de manière plus décisive pour gérer les risques.