En partenariat avec le CESIN et ENEID-Transition, IDC France publie une étude mettant en évidence l’évolution des mentalités en matière de cybersécurité. La preuve, dans 75% des organisations françaises, le RSSI a l’opportunité de passer directement des messages en Comex plusieurs fois par an.
Les mentalités évoluent dans le bon sens. Réalisée en février et mars dernier auprès de 80 entreprises du secteur privé comptant au moins 1000 employés dans l’Hexagone, cette enquête confirme l’implication de plus en plus forte des directions générales sur le sujet de la cybersécurité.
Il y a seulement deux ans, près de six entreprises sur dix considéraient la sécurité numérique comme une direction technique ou un centre de coûts. Une part ramenée à 31% aujourd’hui et qui tombera à 22% dans deux ans.
L’influence grandissante des directions de la cybersécurité se traduit notamment par une bonne prise en compte de la cybersécurité au sein des projets IT. Dans environ 3 organisations sur 4, tout projet doit systématiquement se conformer à un cadre de sécurité.
Anticiper les pertes financières
S’affranchir des bonnes pratiques impulsées par la DSI est une attitude de moins en moins courante. Le risque financier associé aux cyberattaques est désormais plutôt bien évalué par les organisations.
Interrogés sur la faculté de leur DG et de leur Comex à bien anticiper les pertes financières suite à une cyberattaque réussie, 75% des DSI et RSSI se disent tout à fait ou plutôt confiants dans la pertinence de cette évaluation. Mais ils regrettent que le budget soit insuffisant.
Ces évolutions doivent beaucoup à la capacité offerte aux responsables de la cybersécurité de porter leurs messages au plus haut niveau de l’organisation. Dans 75% des organisations françaises, le RSSI a l’opportunité de passer directement des messages en Comex plusieurs fois par an. L’occasion pour eux de parler de leur rémunération qui ne les satisfait pas…
Toutefois, l’étude met aussi en évidence les progrès qui restent à accomplir. Notamment en matière de préparation de crise. Dans 54% des entreprises interrogées, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées.
Des initiatives réalisées de façon empirique
« L’analyse des résultats obtenus à l’indice CESIN-ENEID montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », détaille Reynald Fléchaux, Research Manager chez IDC France.
« On peut relever que beaucoup d’initiatives en matière de sécurisation ont été réalisées de façon empirique et mériteraient d’être réexaminées, car elles mobilisent déjà beaucoup de ressources. Pour ne rien arranger, la cyber concerne de plus en plus directement les produits ou services commercialisés par l’entreprise. Le périmètre à défendre s’étend de façon exponentielle et il sera très vite impossible de tout protéger contre tout type de menaces », prévient Patrick Chenebaux, co-fondateur d’ENEID-Transition.