Une étude menée avec l’ESG révèle que la priorité n’est pas suffisamment donnée aux questions de sécurité au sein des organisations.
Trend Micro Incorporated, entreprise japonaise parmi les leaders mondiaux en matière de cybersécurité, publie les résultats de l’étude ‘Cybersecurity in the C-suite and Boardroom’, menée en partenariat avec Enterprise Strategy Group (ESG)[1]. Révélant les défis systémiques liés à l’intégration de la sécurité dans les processus d’entreprise, celle-ci propose également des axes d’amélioration pour susciter l’engagement et l’adhésion autour des stratégies de cybersécurité au sein des organisations.
Selon l’étude, aligner la sécurité sur les initiatives commerciales clés n’est une priorité que pour 23 % des entreprises. Or certaines mesures peuvent être menées par les organisations pour atteindre cet objectif fondamental, parmi lesquelles :
- Recruter un Business Information Security Officer (BISO) pour améliorer et assurer l’alignement de la sécurité sur les objectifs business
- Mettre en place un programme descendant et mesurable, pour aider les BISO à mieux communiquer avec le Conseil d’Administration
- Modifier les structures hiérarchiques afin que les RSSI rendent compte directement à leur PDG
En effet, les membres du Conseil d’Administration impliqués en amont dans la stratégie de cybersécurité de l’entreprise ont tendance à approfondir davantage le sujet et à mieux anticiper les problématiques associées. Ils sont ainsi plus enclins à passer des questions techniques aux questions commerciales.
Pour la grande majorité des experts interrogés (82 %), les risques de sécurité se sont accrus au cours des deux dernières années, principalement du fait de l’augmentation des menaces, de la surface d’attaque étendue au sein des entreprises et de processus commerciaux plus dépendants que jamais des technologies. Pourtant, malgré l’accélération de la transformation numérique des entreprises en 2020, la sécurité est toujours considérée comme un domaine relevant principalement (41 %), voire totalement (21 %), du service informatique.
Le peu de priorité accordée à la cybersécurité se vérifie particulièrement au sein des Conseils d’Administration. Si 85 % des responsables IT interrogés reconnaissent que le Conseil d’Administration est plus impliqué dans la prise de décisions et la stratégie de sécurité qu’il y a deux ans, ils affirment également qu’il ne s’y intéresse généralement qu’en cas de fuite de données importantes, de nouvelles exigences de conformité ou lors de la création d’un programme de sécurité par un RSSI.
En effet, 44 % indiquent que leur Conseil d’Administration ne participe que de façon limitée aux opérations critiques de cybersécurité : un manque d’engagement qui démontre que bon nombre d’entre eux ne sont prêts à financer que le strict minimum, et ce essentiellement pour répondre aux exigences de conformité et de protection de leur entreprise.
« La recherche d’une sécurité ‘suffisante’ est loin d’être rassurante dans le paysage des menaces que nous connaissons actuellement. Ce rapport souligne le manque d’engagement du Conseil d’Administration que ressentent quotidiennement les RSSI, et reflète à quel point la sécurité n’est pas suffisamment intégrée dans les processus commerciaux », commente Renaud Bidou, Directeur Technique Europe du Sud chez Trend Micro. « Il n’est possible d’instaurer une culture de la sécurité informatique que si les dirigeants montrent l’exemple. C’est le moyen le plus efficace pour que chaque collaborateur soit convaincu du rôle qu’il a à jouer dans la protection de son entreprise. »
- Pour consulter le rapport ‘Cybersecurity in the C-suite and Boardroom’ dans son intégralité :https://resources.trendmicro.com/rs/945-CXD-062/images/ESG-eBook-TrendMicro-Cyber-C-Suite-Boardroom-Dec2020.pdf
- Pour accéder au webinar dédié : https://resources.trendmicro.com/WBN-ESG-Cybersecurity-Boardroom.html?linkId=109490866