Seuls 50% des DSI et 38% des responsables métiers estiment que leur Direction a une bonne compréhension des risques cyber.

Malgré l’actualité quotidienne des cyberattaques, une étude Trend Micro illustre les divergences de priorités dans ce domaine entre les comités de direction et les responsables informatiques/RSSI. La France est particulièrement concernée par ce clivage.

Rueil-Malmaison, le 26 novembre 2021Trend Micro Incorporated (TYO: 4704; TSE: 4704), entreprise japonaise parmi les leaders mondiaux en matière de cybersécurité, présente les résultats d’une nouvelle étude[1] mondiale portant sur la perception du risque cyber en entreprise. Intitulée ‘Business Friction is exposing organisations to cyber threats’, cette dernière met notamment en avant les divergences entre la Direction et les responsables informatiques.

Selon cette enquête, la plupart des responsables informatiques (90%) sont convaincus que leur entreprise est prête à faire certains compromis en matière de cybersécurité pour se concentrer davantage sur la transformation numérique ou la productivité. Une perception qui explique certainement que 82% d’entre eux se soient déjà sentis contraints de minimiser la gravité de risques auprès de leur Conseil d’Administration.

« Les responsables informatiques semblent avoir tendance à s’autocensurer, de peur de se répéter ou de paraître trop négatifs aux yeux de leur Conseil d’Administration. Outre le fait que cela génère une pression constante pour près d'un tiers d’entre eux, cela contribue à ne pas faire de ce sujet une priorité opérationnelle », regrette Nicolas Arpagian, Director Cybersecurity Strategy chez Trend Micro. « Il est primordial d’aborder le risque de telle manière que la cybersécurité soit considérée comme une contribution à la création de valeur de l’entreprise, ce qui permettra aux responsables informatiques et aux RSSI d’être considérés comme des alliés objectifs des équipes métiers ».

D’après l'étude, seuls 50% des DSI et 38% des responsables métiers estiment que leur Direction a une bonne compréhension des risques cyber. Bien que certains d’entre eux se l’expliquent par le fait que le sujet est complexe et en constante évolution, beaucoup considèrent toutefois que la Direction ne fait pas assez d'efforts (26%) ou ne cherche pas à comprendre (20%) les problématiques de cybersécurité.

--------------------------------------------------------------------------------------------------------------------------------------

Zoom sur la France1

Dans l’Hexagone, les équipes informatiques/SSI admettent travailler régulièrement avec leur Direction, le sujet de la cybersécurité étant abordé conjointement au moins une fois par semaine (60%). En France toutefois, la part de responsables informatiques minimisant la gravité des cybermenaces auprès du Conseil d’Administration est plus faible (73%). Un tiers des responsables IT (31%) considère que ce dernier ne fait pas suffisamment d’efforts pour les comprendre. La défiance vis-à-vis de leur Direction et de sa compréhension des enjeux de sécurité est avérée : plus de la moitié (54%) a le sentiment qu’elle se désengage de sa responsabilité. Un point de vue qui est partagé par plus d’un tiers des décideurs commerciaux (38%).

Quel pourrait être l’électrochoc ? Selon les personnes interrogées (65%), il faudrait malheureusement qu’une violation d’ampleur ait lieu et qu’elle soit médiatisée pour que leurs dirigeants prennent conscience de l’ampleur du risque et agissent véritablement. Dans ce contexte, les décideurs estiment que leur entreprise fait davantage de compromis en matière de sécurité au profit de la productivité (32%), du travail hybride (28%) ou de l’expérience client (28%).

--------------------------------------------------------------------------------------------------------------------------------------

« Les responsables IT doivent être en mesure de rendre concrets les risques encourus et de les mettre en regard des activités de chaque direction métiers », remarque Nicolas Arpagian. « Pour que la stratégie de l'entreprise soit alignée avec la stratégie de cybersécurité, il leur faut donc formuler des messages qui s’appuient sur les besoins techniques et juridiques des métiers. Exprimer les risques en termes opérationnels et financiers leur permettra de parler le même langage que leur Direction, qui intégrera d’autant plus la sécurité comme un de ses facteurs de croissance plutôt que comme un frein à l'innovation. »

L’étude illustre un désaccord entre les services quant à la responsabilité en matière de gestion et d’atténuation des risques. Les directions informatiques sont en effet deux fois plus susceptibles que les directions commerciales d’attribuer la responsabilité au RSSI et aux équipes IT. Un état de fait qui explique que, pour une personne sur deux (49%), les cybermenaces soient encore davantage perçues comme un problème informatique que comme un risque commercial, financier ou juridique.

De tels désaccords sont parfois lourds de conséquences : plus de la moitié (52%) des personnes interrogées reconnaissent ainsi que l’attitude de leur entreprise vis-à-vis des risques n’est pas suffisamment constante et varie d’un mois sur l’autre. Néanmoins, 31% estiment que la cybersécurité constitue le plus grand risque pesant actuellement sur l’activité de l’entreprise et 66% affirment qu’elle a un impact financier non négligeable, bien que cela puisse sembler contradictoire au vu de la tendance globale à faire certains compromis sur la sécurité.

Selon les personnes interrogées, les Conseils d’Administration prendraient davantage conscience de l’ampleur des risques encourus si :

 

[1] Commanditée par Trend Micro, l’étude a été conduite par Sapio Research auprès de 5 321 responsables informatiques et commerciaux au sein d’entreprises de plus de 250 salariés, répartis dans 26 pays dont la France (206 contacts audités).