Etude mondiale Le manque d’adhésion des conseils d’administration aux enjeux de cybersécurité expose encore trop fortement les entreprises
septembre 2024 par Trend Micro et Sapio Research
Trend Micro Incorporated s’est intéressé au niveau d’implication des conseils d’administration en matière de cybersécurité. L’étude ‘Underfunded and unaccountable : How a lack of corporate leadership is hurting cybersecurity’ pointe un manque de ressources et de d’adhésion de la direction pour mesurer et atténuer efficacement les risques liés à leur surface d’attaque.
« L’absence de leadership clair en matière de cybersécurité peut avoir un effet paralysant sur toute une organisation et conduire à une prise de décision réactive, fragmentée et erratique. Il est crucial que les RSSI et les équipes dirigeantes établissent une communication claire et fluide afin que toutes les parties se sentent concernées par les impacts engendrés par les cyberattaques. Pour renforcer leur cyber-résilience, ils devraient idéalement disposer d’une unique source de confiance couvrant la surface d’attaque. Un tableau de bord pour à partir duquel partager des mises à jour avec la Direction, surveiller en continu les risques et remédier automatiquement aux problèmes » analyse Nurfedin Zejnulahi, Technical Director - Trend Micro France.
Dans le cadre de cette étude*, Trend Micro a cherché comprendre les attitudes des RSSI envers la gestion des risques liés à la surface d’attaque (ASRM).
Les principaux enseignements suivants témoignent de leurs lacunes en matière de cyber-résilience :
• Seuls 36% s’appuient sur des ressources suffisantes pour assurer une couverture cybersécurité 24/7.
• 35% utilisent des techniques de gestion de la surface d’attaque pour en mesurer le périmètre.
• 34% utilisent des cadres réglementaires et des standards éprouvés, comme le NIST Cybersecurity Framework.
L’échec de la majorité des entreprises mondiales à mettre en œuvre ces bases en matière de cybersécurité peut s’expliquer par un manque de leadership et de responsabilité au plus haut de l’organisation. Près de la moitié des répondants ont affirmé que leur direction ne considère pas la cybersécurité comme leur responsabilité (48 %). Seuls 17 % des RSSI désapprouvent cette affirmation.
A la question : ‘Qui assume ou devrait assumer la responsabilité de l’atténuation des risques cyber de l’entreprise’, l’audience était assez divisée.
Au niveau mondial, près d’un tiers des RSSI (31 %) ont déclaré que la responsabilité incombe aux équipes informatiques de leur organisation. Un résultat qui traduit notamment un manque de clarté dans les rapports hiérarchiques.
Ce manque de ligne directrice claire en matière de stratégie de cybersécurité pourrait expliquer pourquoi plus de la moitié (54 %) des répondants se sont plaints que l’attitude de leur organisation à l’égard du risque cyber était irrégulière et variait d’un mois sur l’autre.
Le leadership nécessaire pour remédier aux enjeux de cybersécurité identifiés manque dans de nombreuses organisations. La quasi-totalité des RSSI (96 %) sont préoccupés par la surface d’attaque de leur entreprise (90% en FR ont une idée claire de la propension au risque). Plus d’un tiers (36 %) s’inquiètent de la manière de découvrir, d’évaluer et d’atténuer les zones à haut risque, et 2 RSSI sur 10 ne sont pas en mesure de travailler à partir d’une unique source de confiance (19 %).
Les chiffres essentiels en France** :
• Seulement 24% des RSSI interrogés disposent de ressources suffisantes pour assurer une couverture cybersécurité 24/7.
• Seul un quart utilise des techniques de gestion de la surface d’attaque pour en mesurer le périmètre.
• Un tiers des RSSI s’appuient sur des cadres réglementaires et des standards éprouvés, comme le NIST Cybersecurity Framework.
• En France, la responsabilité des Dirigeants l’emporte (31 %) sur celles des équipes IT (25 %) en matière de gestion des risques.
• Pour 47 % des RSSI, l’attitude de leur entreprise face au cyber risque reste encore aléatoire.
• La quasi-totalité des RSSI (97 %) sont préoccupés par la surface d’attaque de leur entreprise. Plus d’un tiers (33 %) s’inquiètent de la manière de découvrir, d’évaluer et d’atténuer les zones à haut risque.
• 12 % des RSSI français ne sont pas en mesure de travailler à partir d’une source de confiance.
* Méthodologie : L’étude a été commanditée par Trend Micro auprès de Sapio Research. Dans ce cadre, 2 600 responsables informatiques travaillant au sein de structures de tailles et d’activités différentes réparties dans plusieurs zones géographiques (LATAM, APAC, Amérique du Nord, Europe et Moyen-Orient) ont été interrogés au cours du 1er trimestre 2024.
** L’échantillon français est constitué de 100 entreprises, de 250 à plus de 5 000 collaborateurs, issues principalement des secteurs IT (20 %), industrie (14 %) et finance (12 %).