RSM, conglomérat international, entre autres, de cabinets de conseils financiers et d’audit s’est associé aux « European Business Awards » (EBA) pour lancer une enquête de dimension européenne sur les impacts de la Transformation Numérique sur la cybersécurité en entreprise.

« Qui dit Transformation Numérique pense Cybersécurité » devrait être un réflexe naturel pour toute Direction d’entreprise, notamment pour les plus grandes d’entre elles. La réalité semble moins idyllique que ce qu’elle devrait être.

Cette étude à l’échelle européenne couvre les 33 pays participants aux EBA. Elle a été réalisée auprès des Directions de 597 entreprises, toutes tailles et secteurs confondus. Parmi les personnes ayant répondu, 56% sont membres du conseil d’administration alors que 31% leur sont inféodées dans l’exercice de leur fonction.

La nécessité d’une telle étude est révélatrice d’une certaine immaturité du secteur. La prise de conscience des Directions est loin d’être parfaite, les stratégies en cybersécurité parfois mal pensées, mal abouties,  voire quasi inexistantes. Au delà de ces points essentiels, si l’on se réfère cette fois à la sensibilisation des employés, composante obligatoire en cybersécurité, il ressort de cette étude que c’est un aspect du problème encore bien mal considéré.

Les principaux résultats de cette étude tendraient à prouver que pour 80% des entreprises européennes interrogées, la Transformation Numérique est une priorité et ce, en dépit d’une cyberdéfense inadaptée. Certains responsables reconnaissent cette carence, et pensent même être déjà victimes de compromissions non encore découvertes, et admettent que leur entreprise pourrait être encore plus vulnérables aujourd’hui qu’elles ne l’étaient hier ... ils sont également sceptiques quant en leurs capacité à se défendre de manière efficace face à une cyberattaque. Il existe, toujours selon cette étude, une grosse différence entre la réalité et la perception au niveau de la Direction. Et encore trop souvent, parmi les entreprises interrogées,  il semblerait que certaines n’aient pas encore conscience de qui porte la responsabilité en matière de pertes de données à caractère personnel. Enfin, très peu de Directions rapportent avoir eu des discussions au sujet de la gestion du risque en termes de cybersécurité à cela s’ajoute un flou autour de à qui échoit la responsabilité de cette gestion du risques. Mais la nécessité de respecter le RGPD semble créer un « appel d’air ». Et même si il y a encore des points de mise en oeuvre à éclaircir, cela semble être une bonne mise à l’étrier.

La cybersécurité, parent pauvre de la Transformation Numérique

Selon une étude de la Clark School (Université du Maryland), une attaque a lieu toutes les 39 secondes.  Si l’on considère que 80% des entreprises se lancent dans la transformation numérique et parmi elles, 21% qui affirment ne pas avoir établies de stratégie de cybersécurité en dépit de cette transformation, il n’est pas difficile d’estimer le niveau de risque encouru.

Près de 29% « convertis numériques » constatent des bénéfices en hausse du fait de cette transformation. Cloud, IoT, Automatisation, Machine Learning et IA comptent parmi leurs principaux investissements. Et si l’on affine un  peu ces résultats en considérant les objectifs de ces choix, on remarque que la majorité (67%) le font pour améliorer leurs performances en termes de business. Puis à 51%, ex-aequo, elles le font autant pour des raisons techniques (mise à jour de leurs systèmes) que sous la contrainte de l’évolution du business (de leurs processus métier). Là où le bât blesse, c’est que 34% des responsables interrogés seulement affirment le faire également pour sécuriser les données sensibles et éviter de potentielles brèches. Et pourtant, 50% de ces Directions considèrent  que plus on s’appuie sur de la technologie, plus on augmente le risque d’une cyberattaque si aucun contrôle n’est mis en place. Sur les 50%, seules 12% sont fermement sûres de ce fait alors que 38% l’envisage tout simplement.

01

Une Stratégie Cybersécurité mais avec beaucoup de Défiance

Parmi celles qui ont mis en oeuvre une stratégie de défense, beaucoup restent encore sceptiques quant à leurs capacités à réellement parer une cyberattaque. Elles sont 29% à ne pas y croire pour 23% qui n’en sont tout simplement pas certaines. Face à cette majorité très pessimiste, restent 48% à être confiantes dans les capacités de leur entreprise à déjouer les cyberméchants.

La prise de conscience du risque numérique dans ces entreprises est réelle avec 72% des métiers qui pensent qu’elles encourent des actes cybercriminels. Et 64% d’entre elles sont même sûres d’avoir été attaquées sans qu’elles ne s’en soient rendues compte.

02

Des Directions encore peu conscientes

Près de 65% des métiers ont conscience que la cybersécurité (préventive) devrait se discuter au à l’échelon de la Direction. Or, le facteur déclencheur, pour 59% des Directions est la découverte d’une brèche, donc a posteriori. 54% du panel avoue que la discussion du sujet au niveau du Conseil de Direction ne se fait malheureusement qu’occasionnellement. Le flou est réel dans les esprits comme le montrent les chiffres : 20% des Directions restent persuadées que la responsabilité de la cybersécurité incombe totalement à la DSI et seulement 31% ont conscience que le CEO est seul responsable.

03

RGPD à la rescousse de la CyberDéfense ?

Les réglementations ont toujours été des facteurs déclencheurs dans le domaine de la Sécurité et le RGPD a, une fois de plus, joué ce rôle. Avec la majorité des suffrages, 68% des entreprises ont lancé une stratégie de cybersécurité du fait de la mise en application du RGPD fin mai 2018 et pour 62% d’entre elles, cela a permis d’obtenir une augmentation du montant budget dédié à leur sécurité. Ainsi pour 51% d’entre elles, cela a été bénéfique pour leur business. A noter qu’elles sont encore 26% à penser que leur entreprise n’est pas encore totalement conforme au RGPD au bout d’un an de la mise en application du décret.

4

Sensibilisation toujours nécessaire

64% des métiers interrogés affirment que tous les employés ont bien été sensibilisés à la cybersécurité dans leurs entreprises alors que 22% d’entre elles ne donnent pas de cours spécifiques sur les problèmes de cybersécurité. Et pourtant pour 44% d’entre elles, l’attaque ciblée via emails est la première des menaces actuellement, devant les APT, les ransomware et les risques encourus du fait d’administration par de tierces parties.

5

Source : https://www.rsm.global/catch-22-digital-transformation-and-its-impact-cybersecurity