Les grandes crises servent parfois de révélateurs : 88 % des dirigeants et responsables sécurité français n’ont pas réussi à s’accorder sur les stratégies de sécurité en plein confinement. Un décalage néfaste pour les entreprises qui continuent de naviguer à vue dans un climat incertain et instable.
Les entreprises doivent naviguer dans un environnement incertain et instable. Cette assertion était déjà vraie avant la crise pandémique, elle l’est encore plus pendant la crise et l’urgence qu’a constitué le confinement. Dans ces périodes d’instabilité et d’accélération de la transformation numérique, on pourrait penser que l’agilité décisionnelle, nécessaire en cette période de raccourcissement des cycles, amène les dirigeants et les directions à collaborer de manière fluide et consensuelle, surtout en matière de sécurité. Apparemment, ce n’a pas été le cas pour tous, selon les conclusions de l’enquête menée en avril dernier par Forrester Consulting pour le compte de Tenable.
Le rapport fait état d’un manque de collaboration entre les dirigeants et les responsables sécurité français, car 88 % d’entre eux admettent que leurs stratégies de réponse au Covid-19 étaient tout au plus relativement en phase. Dans cette enquête, 34 % des dirigeants ont déclaré qu’ils consultaient rarement les responsables sécurité lorsqu’ils mettaient au point les stratégies de l’entreprise. Près de la moitié (42 %) des responsables sécurité français ont affirmé ne pas collaborer avec les interlocuteurs clés de l’entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins et les priorités de l’entreprise.
Une visibilité limitée sur les risques cyber
Ceci est d’autant plus dommageable que les risques augmentent dans des entreprises distribuées pour cause de télétravail forcé. L’enquête révèle que 66 % des participants se sont dits très ou extrêmement préoccupés par le fait que les changements de modes de travail liés au Covid-19 vont encore élever le niveau de risque de leur entreprise. Ces préoccupations sont en partie causées par un manque considérable de visibilité sur les environnements numériques, devenus par la force des événements dynamiques et distribués.
Les responsables sécurité français ont affirmé à 40 % n’avoir qu’une visibilité limitée sur le risque encouru par les collaborateurs, qu’ils travaillent sur site ou en télétravail. Environ un tiers a fait part d’un même manque de visibilité sur les appareils informatiques, OT (technologies opérationnelles) et IoT. Enfin, plus de la moitié des participants affirme ne posséder qu’une visibilité limitée sur les appareils mobiles.
Traduire le risque cyber en termes de risque pour l’entreprise
« Étant donné que le risque cyber fait désormais partie intégrante du risque pour l’entreprise, une communication directe, régulière et efficace entre les dirigeants et les responsables sécurité est essentielle. C’est le seul moyen d’élaborer des stratégies qui font avancer les objectifs organisationnels tout en maximisant la réduction des risques pour les actifs les plus stratégiques », affirme Éric Detoisien, directeur de la recherche chez Tenable.
« Les RSSI et autres responsables de la sécurité doivent aujourd’hui traduire les menaces de cybersécurité en termes de risques pour l’entreprise », conseil de son côté Forrester. Une conclusion qui met le doigt sur un aspect souvent oublié de la fonction de RSSI : la communication.
Forrester Consulting a mené une enquête en ligne auprès de 50 responsables sécurité et de 54 dirigeants afin d’examiner les stratégies et les pratiques de cybersécurité dans les moyennes et grandes entreprises en France. L’enquête a été réalisée en avril 2020.