En l’espace d’un an, et malgré une actualité forte et anxiogène, selon une étude de KPMG la cybersécurité est passée de la première à la cinquième place des priorités des PDG !
A en discuter avec de nombreux experts, un point essentiel dans la cybersécurité est de motiver le PDG, le Conseil d'administration et le Comex pour qu’ils prennent conscience des cyber-risques encourus par l'entreprise et qu’ils soient supports des actions menées pour lutter contre les menaces.
Mais PDG et Direction générale ont-ils vraiment pris conscience du danger ? A lire les résultats de l’enquête annuelle « Building Trust » de KPMG, on peut en douter. « La cybersécurité continue d'être une préoccupation majeure pour les PDG », affirme le rapport, pour plus loin constater qu'« elle a chuté de la première place dans l'enquête de l'année dernière à la cinquième place des risques les plus importants ».
- En 2016, 83% des PDG avaient indiqué que la réduction des risques cyber fait partie de leur rôle, ils ne sont plus que 72% à l’affirmer en 2017 !
Les PDG baissent-ils leur garde ?
L'enquête montre qu’en 2017 les chefs d'entreprise estiment que leur entreprise a fait des progrès dans la gestion de la menace. Aujourd'hui, 42% des PDG se sentent bien préparés pour affronter un événement cyber, contre 25% en 2016. Les directeurs généraux sont même 72% à affirmer qu’ils se sentent à l'aise avec la réduction les risques de cybersécurité dans le cadre de leur rôle…
Ce qui est rassurant, c’est que 71% des chefs d’entreprise voient leurs investissements dans la cybersécurité comme une occasion d'innover et de trouver de nouvelles sources de revenus, plutôt que comme des frais généraux. Par exemple, certaines entreprises ont créé de la valeur en investissant dans une technologie qui envoie une alerte au client s'il y a une connexion inhabituelle, comme provenant d’un pays différent. Ce qui offre une bonne occasion de se placer à proximité des clients et de répondre à leurs préoccupations sécuritaires.
Se préparer à la cyber-attaque
La préparation des industries à affronter un événement de cybersécurité est très variable. Il est surprenant, par exemple, que certaines industries clés considérées comme étant à risque ne sont pas mieux préparées pour un incident de cybersécurité par rapport à d'autres industries. Probablement que ces dernières sont conscientes de la complexité croissante des menaces et ont une meilleure compréhension de la difficulté à atteindre la résilience...
Pourtant, certaines entreprises engagent clairement leurs dirigeants dans les exigences de la gestion d'une situation réelle, en travaillant sur des simulations réalistes. Elles s’interrogent et interpellent : Que se passe-t-il si nous devons affronter certaines formes d'attaques ? Comment agir et gérer la situation ? Quel est le rôle de la direction générale ? Quel est le rôle du conseil d'administration ? Quels sont les différents types de scénarios sur lesquels nous devons travailler ?
Beaucoup de PDG ont pris note des cyber-risques et se tiennent prêts à répondre personnellement. Probablement ont-ils pris également conscience du bâton et de la carotte portés par la GDPR, le référentiel européen de la sécurité des données personnelles, dont l'échéance approche (mi 2018).
Mais dans le même temps, ils sont encore nombreux à ressentir un faux sentiment de sécurité. Parce qu’ils pensent qu'ils ont fait des investissements importants pour renforcer la capacité sécuritaire de leur entreprise, ou qu’ils estiment s’être personnellement rapprochés de la cybersécurité. Il est surtout à craindre qu'il y aura peu d'amélioration de ces sentiments dans un proche avenir.
74% des chefs d'entreprise disent qu'ils accordent une plus grande importance à la confiance, aux valeurs et la culture de l'entreprise et de ses membres afin de soutenir leur avenir, que sur la cybersécurité.
Source : Etude annuelle « Building Trust » de KPMG
Image d’entête 537369932 @ iStock arthobbit