Basée sur les cadres du NIST, une étude approfondie note que la cybersécurité est passée d’un problème informatique à un domaine essentiel de la gestion des risques et des performances de l’entreprise.

Comme la menace des ransomwares et des cyberattaques ne cesse de croître, les organisations repensent leurs stratégies, leurs budgets et leurs processus de cybersécurité.

Cependant, certaines organisations n’évoluent pas assez rapidement. C’est le constat d’une étude récente de ThoughtLab qui a interrogé 1 200 organisations dans le monde.

Cette étude s’appuie sur le cadre du NIST pour évaluer le niveau de progrès des organisations en matière de cybersécurité dans les cinq catégories : identifier, protéger, détecter, répondre et récupérer. ThoughtLab a aussi demandé aux personnes interrogées d’évaluer leur degré de progression de 1 à 5 dans les 23 activités qui relèvent des piliers du NIST.

Les répondants ont été regroupés en trois stades de mise en œuvre du NIST : ceux dont le score moyen était inférieur à 50 étaient classés dans le stade de mise en œuvre précoce, ceux dont le score était compris entre 50 et 70 dans le stade de mise en œuvre intermédiaire et ceux dont le score était supérieur à 70 dans le stade de mise en œuvre avancée.

Sur la base du cadre de maturité du NIST, 7 % des organisations de cet échantillon sont en début de mise en œuvre, 59 % sont en milieu de mise en œuvre, et 34 % sont avancées. Le score moyen pour l’ensemble des secteurs est de 66,8, ce qui indique que la conformité aux cadres de maturité tels que le NIST est encore en cours.

Par rapport au cadre basé sur les risques, 24 % des organisations de cet échantillon ont été qualifiées de débutantes, 53 % d’intermédiaires et 23 % de leaders. Les sciences de la vie, les services financiers et l’automobile sont les industries les plus matures dans l’utilisation d’un cadre basé sur le risque, tandis que les soins de santé, l’industrie manufacturière, les médias et le divertissement sont moins matures.

Cette étude note que la cybersécurité est à un tournant majeur. Huit mégatendances, se renforçant mutuellement, rendent le paysage de la cybersécurité plus risqué, plus complexe et plus coûteux à gérer.

La cybersécurité est passée d’un problème informatique à un domaine essentiel de la gestion des risques et des performances de l’entreprise, nécessitant l’attention vigilante des cadres supérieurs et du conseil d’administration.

Les dirigeants s’accordent à dire que nous sommes entrés dans une nouvelle ère du cyberrisque. « Dans cette nouvelle phase, les organisations devront faire passer leur approche de la cybersécurité à un niveau supérieur en la rendant plus axée sur les risques, centrée sur l’humain, gérée par des équipes, bien financée et totalement alignée sur les activités de l’entreprise. Les gouvernements devront jouer un rôle plus actif », indiquent les auteurs du rapport.

Selon ce rapport, 41 % des cadres et 46 % des DSI pensent que les initiatives de leur organisation en matière de cyberrisque ne suivent pas le rythme des efforts plus larges de la transformation numérique. 

« De nombreuses organisations ne sont pas préparées à ce qui les attend et les budgets de nombreuses entreprises n’augmentent pas aussi vite que les cyberrisques auxquels elles sont confrontées », insistent les auteurs de cette étude.

Avant même l’éclatement de la guerre en Ukraine, cette étude a révélé que 27 % des dirigeants estimaient que leur entreprise n’était pas bien préparée à l’évolution rapide du paysage des menaces. Le pourcentage était encore plus élevé parmi les cadres supérieurs : 29 % des PDG et 40 % des responsables de la sécurité.

L’impact le plus important est la perte de réputation, avec des conséquences sur la confiance des clients, la part de marché et le coût du capital. L’interruption des activités est le deuxième impact le plus important, suivi par les coûts et le travail nécessaires pour y répondre.

Les impacts varient par secteur d’activité : par exemple, les pertes financières directes étaient plus importantes pour les entreprises technologiques, et les coûts de remplacement pour les entreprises de santé.

Pour ThoughtLab, « il sera essentiel de convaincre les conseils d’administration et les PDG de faire cet investissement. Le manque de soutien des dirigeants restera un problème pour les organisations qui cherchent un équilibre entre croissance numérique et sécurité. Cette situation est particulièrement difficile pour les organisations avancées, qui adoptent rapidement les nouvelles technologies et exploitent les nouveaux marchés numériques ».