Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Seules 40 % des entreprises françaises interrogées ont établi un plan de réponse aux attaques de ransomware

mars 2023 par Palo Alto Networks®

Palo Alto Networks dévoile sa nouvelle enquête : PDG et cybersécurité en entreprise : un rapprochement salutaire mais encore timide.

La recherche a été commandée par Palo Alto Networks et menée par Censuswide. 500 PDG d’entreprises de 500 employés et plus ont été interrogés en France, (mais également au Royaume-Uni, en Allemagne, au Brésil et aux Émirats arabes unis). La recherche a été menée entre le 10 et 28 février 2023. Censuswide respecte et emploie des membres de la Market Research Society et suit le code de conduite MRS qui est basé sur les principes ESOMAR et est membre du British Polling Council.

PDG français, compréhension, défis et vision de la cybersécurité : ce qu’il faut retenir

En France, il existe un clivage net dans la manière dont les PDG évaluent leur propre compréhension des cyber menaces qui pèsent sur leur entreprise. Seuls 22% des PDG français interrogés pensent comprendre parfaitement le sujet (contre 39% en Allemagne). 6% déclarent même avoir une mauvaise compréhension des enjeux cyber de leur organisation.

Concernant les facteurs ayant le plus fort impact sur l’approche de l’entreprise en matière de cybersécurité, les différents avis révèlent l’absence d’un consensus clair. Voici les trois principales réponses :
• L’augmentation du travail à distance est l’impact numéro un (16 %),
• L’aggravation de la situation géopolitique entraînant une augmentation des menaces suit de près (14 %),
• Les lois et règlements visant à en faire plus pour être cyber-résilients et sécurisés arrivent en troisième position (13 %).

Challenges de sécurité et responsabilités

De nombreux défis se posent en matière de sécurité des entreprises. Les PDG français interrogés peinent à identifier les obstacles majeurs pour l’assurer. Voici les trois réponses les plus fréquemment données :
• La vitesse à laquelle le paysage des menaces évolue (24 %),
• Le manque de sensibilisation ou de compréhension du risque par les employés (24 %),
• Le manque de compétences et de ressources internes pour maîtriser le problème (23 %),
• D’autres préoccupations sont également évoquées : l’évolution rapide des technologies (23%), les priorités budgétaires (22%), le paysage des fournisseurs et des produits (20 %) et la complexité des opérations (20%). En l’état, tout semble être un obstacle.
De même, personne ne semble s’entendre sur les rôles et responsables chargés d’assurer la protection de l’entreprise contre une cyberattaque.
• 23 % des PDG français interrogés estiment avoir la responsabilité finale,
• 26 % estiment partager la responsabilité avec leur DSI,
• 23 % font entièrement peser la responsabilité sur leur DSI.
Les PDG français ne veulent pas trop s’immiscer dans le choix des solutions de cybersécurité qui seront utilisées dans l’entreprise :
• 23 % comptent sur leur DSI ou leur RSSI pour choisir un fournisseur ou un produit,
• 48 % collaborent avec des consultants de confiance qui les informent sur l’évolution du paysage des fournisseurs et des produits, les aidant ainsi à prendre la bonne décision.

Face à la menace cyber et ses impacts métier/business, quelles (ré)actions de la part des PDG français ?

Lorsqu’on leur demande comment ils réagiraient à une attaque de ransomware qui aurait un impact sur l’entreprise, les réponses des PDG sont déroutantes
• Seuls 40 % d’entre eux disposent d’un plan préétabli de récupération des données et systèmes en cas d’attaque. Ce manque de préparation, qui suggère que les entreprises françaises ne sont pas aussi résistantes aux menaces qu’elles le prétendent, est aggravé par un autre constat :
• Près de 27%, soit trois sur dix, seraient ainsi prêts à payer la rançon en échange de la libération des systèmes et de la restitution des données.
• Cependant, 33% refusent de payer.
• A noter qu’en Europe, les PDG français interrogés sont les plus confiants[2] dans leur capacité à répondre aux cybermenaces sur l’ensemble de la chaîne d’approvisionnement (83%).

À la traîne derrière le Royaume-Uni et l’Allemagne, les PDG français ne réalisent pas systématiquement d’analyse exhaustive des pertes financières potentielles en cas de cyberattaque réussie :
• Seuls 51 % l’ont fait, tandis que 43 % ne l’ont pas fait.
• Cette décision peut s’expliquer par le fait que de nombreux PDG (36 %) ont déjà eu l’occasion de constater les pertes financières résultant d’une attaque au cours des 12 derniers mois. Si un petit 8 % déclare que ces pertes ont diminué de manière significative, 33 % affirment qu’elles ont au contraire augmenté[3].

Conformité réglementaire : quelle perception et compréhension ?

Même s’ils veillent à leur conformité plus régulièrement que leurs homologues étrangers, les PDG français interrogés ne semblent pas tous certains que leurs activités soient conformes aux lois et réglementations en matière de cybersécurité. Bien que la majorité (62 %[1]) estime avoir une compréhension complète des lois et règlements qui s’appliquent à eux en matière de cybersécurité, d’autres réponses contredisent toutefois cet excès d’optimisme :

• Seuls 21 % sont « tout à fait d’accord » avec cet énoncé,
• Un certain nombre d’entre eux demeurent dans l’incertitude quant à leur conformité, 28% n’étant ni d’accord ni en désaccord avec cette déclaration.

Autant de chiffres qui révèlent le défi de la conformité réglementaire :
• 65 %[1] considèrent la numérisation de leur entreprise comme un obstacle croissant à leur pleine conformité aux lois et réglementations en matière de cybersécurité.
• Cette préoccupation semble se traduire par une évaluation régulière, puisque c’est en France qu’on trouve le plus grand nombre d’entreprises (62 %) qui réalisent une analyse formelle (au moins une fois par mois) des politiques, procédures et technologies de cybersécurité pour assurer le respect des lois et règlements.
• En outre, 60 % assurent qu’ils investiront dans les services et technologies de cybersécurité au cours des douze prochains mois pour assurer leur conformité aux lois et règlements.

Formation : les PDG sont-ils vraiment concernés ?

Du côté de la formation, les PDG français semblent considérer qu’elle s’impose au personnel, mais pas forcément à l’équipe dirigeante.
• Près de six sondés sur dix (59 %) ont répondu que leurs employés sont formés au moins une fois par mois à la cybersécurité.
• Ce chiffre est à nuancer avec le pourcentage comparativement faible (32 %) de programmes de formation sur mesure obligatoires pour les équipes de la direction,
o Avec 52 % de réponses positives, l’Allemagne devance d’ailleurs les Français de 20 % dans ce domaine,
o Dans 45 % des entreprises, des formations sur mesure facultatives sont mises à disposition des équipes de la direction, mais 23 % d’entre elles ne proposent pas de formation sur mesure aux dirigeants et les considèrent par défaut comme détenteurs de ces connaissances.


Voir les articles précédents

    

Voir les articles suivants