Comme évoqué dans cet article sur la transformation digitale, les DAF y jouent un rôle majeur. Ce sont eux qui tiennent les cordons de la bourse, après validation des dépenses par la direction générale. L’étude « State of Incident Response 2021 » de Kroll, conseil en gestion des risques et en finance, montre cependant que le chemin est encore long avant d’engager les investissements nécessaires à une politique efficace de cyberdéfense. Le manque d’attention et de moyens accordés par les DAF aux problèmes de gestion des risques de cybersécurité, perdure. Ils sont 87% à considérer que leur entreprise dispose aujourd’hui des moyens nécessaires pour faire face aux cybermenaces. De même, les dirigeants restent très confiants dans la capacité de leurs organisations à faire face aux attaques.
Près de la moitié des DAF, soit 40% n’ont jamais reçu de consigne spécifique de la part des responsables de la sécurité du SI de leur société, un manque d’accès à l’information préoccupant. Pourtant, 61% des répondants font état de pertes de plus 5 millions de dollars sur les 18 derniers mois liés à des incidents cyber. Plus précisément, le coût des sinistres représente plus de 10 millions de dollars pour un tiers d’entre eux, et plus de 25 millions de dollars pour un quart des répondants. Sur cette même période, 79% attestent avoir subi au moins une effraction ayant eu des conséquences en termes de budget ou de fuite de données.
La déconnexion des décideurs financiers avec les besoins réels de l’entreprise est patente en matière de risques numériques. Paradoxalement, deux tiers des DSI considèrent que leur entreprise est, vulnérable face aux cybermenaces. Un contraste flagrant entre ces deux types de perception du risque.
Des perspectives d’investissement plus adaptées aux vrais besoins
En contrepoint de l’étude, près de la moitié des DAF interrogés pour l’étude sont prêts à accroitre les budgets pour renforcer les moyens de défense numérique de l’entreprise. Ainsi, 45% d’entre eux ont prévu d’augmenter leur budget dédié à la cybersécurité d’au moins 10% pendant le prochain exercice fiscal. Ce budget inclut, notamment, la sous-traitance des activités de sécurisation du système d’information. Ce dernier représente aujourd’hui entre 10% et 50% des dépenses dédiées à la cybersécurité pour les trois-quarts des sondés. Un bémol cependant, près de 22% des DAF déclarent que leur budget va rester stable (20%), voire décliner (2%). Ces indicateurs n’attestent pas d’une prise de conscience de l’importance des enjeux à venir en la matière.«Il est aujourd’hui essentiel que les DAF et les DSI travaillent plus systématiquement ensemble pour définir des budgets proportionnés aux menaces. L’objectif ici serait de s’inscrire dans une démarche d’abord préventive, plutôt que réactive. Nous voyons encore trop souvent des déblocages de fonds dans l’urgence, quand il est déjà trop tard » résume Vito Rallo, associate managing director de la pratique Cyber Risk de Kroll.