Proofpoint a publié un rapport qui explore les perspectives cyber de 600 membres de conseils d’administration à travers 12 pays dont la France, en les comparant à celles des RSSI, compilées annuellement par Proofpoint dans son Voice of the CISO.
Lorsqu’il s’agit d’évaluer la menace cyber, cette étude démontre qu’il existe au niveau mondial une certaine déconnexion : en moyenne, 65 % des membres de conseils d’administration pensent que leur organisation risque de subir une cyberattaque dans les 12 prochains mois, contre 48 % chez les RSSI. En revanche, en France, les deux parties semblent alignées (avec 78 % des conseils d’administration et 80 % des RSSI, convaincus du risque imminent).La bonne nouvelle est donc que la plupart des conseils d’administration disent avoir la défense cyber régulièrement à l’ordre du jour.
Pas prêts pour une cyberattaque
Parmi les membres interrogés, 76 % déclarent en discuter au moins une fois par mois. Ce chiffre est encourageant. Mais aux vues de la déferlante d’attaques cyber, peut-être n’est-il pas suffisant.Plus inquiétant encore, 24 % n’en discutent qu’occasionnellement. Autre source d’inquiétude, 40 % des membres de conseils d’administration interrogés ne se sentent pas prêts à affronter une cyberattaque (47 % à l’échelle mondiale), un résultat aligné avec les RSSI (37 %).
Des divergences importantes apparaissent au sein des sous-secteurs industriels. Les administrateurs des secteurs des services financiers (73 %), de l’informatique (73 %)et de l’industrie manufacturière (70 %) pensent qu’ils sont exposés à un niveau de risque plus élevé que leurs RSSI, qui sont d’accord à 45 %, 56 % et 54 %, respectivement.
L’analyse des données par pays et par secteur d’activité met en évidence les différences de perception des membres du conseil d’administration quant aux plus grandes menaces de cybersécurité. En France, beaucoup s’inquiètent des attaques visant la supply chain. Les membres du conseil d’administration interrogés considèrent la fraude par courrier électronique et la compromission des courriers électroniques professionnels (BEC-business email compromise) comme leur principale préoccupation (41 %), suivie par la compromission des comptes cloud (37 %) et les ransomwares (32 %).
Mais les membres des conseils d’administration et les responsables des systèmes d’information divergent sur un point important : les menaces d’initiés ne constituent pas une préoccupation majeure pour les conseils d’administration, mais la préoccupation n° 1 pour les RSSI.
Divergence sur les risques
Le fait que les membres du conseil d’administration et les responsables des systèmes d’information ne soient pas sur la même longueur d’onde en matière de risque n’est peut-être pas surprenant, mais il est certainement très révélateur.« La plupart des RSSI ne connaissent que trop bien la difficulté d’obtenir l’adhésion à des projets de cybersécurité. Cette différence dans les niveaux de menace perçus constitue un obstacle important à l’établissement d’un front uni, essentiel à une défense efficace de la cybersécurité », lit-on dans ce rapport.
« Il est encourageant de constater que la cybersécurité est enfin au cœur des conversations dans les conseils d’administration. Cependant, notre rapport montre qu’il reste beaucoup de chemin à parcourir pour comprendre le paysage des menaces et se préparer à des cyberattaques d’envergure », a déclaré Lucia Milică, vice-présidente et RSSI résidente mondiale chez Proofpoint.