Une nouvelle étude Forrester, commandée par Tenable et menée auprès de 800 RSSI dont 104 Français, met une nouvelle fois l’accent sur l’augmentation des cyber-attaques réussies et sur leurs impacts sur le Business des entreprises.

On le sait, la crise pandémique s’est accompagnée d’une recrudescence des cyber-attaques contre les utilisateurs et les systèmes d’information. Mais cette recrudescence ne s’arrêtera pas avec la fin de la pandémie. L’augmentation des attaques lui est d’ailleurs antérieure. Comme le révèle une nouvelle étude menée par Tenable auprès d’une centaine de RSSI Français, 64% des répondants ont observé une augmentation considérable du nombre de cyber-attaques affectant l’activité ces deux dernières années.

L’étude révèle surtout que 90% des entreprises françaises ont connu au moins une cyber-attaque ayant eu des répercussions sur l’activité dans les 12 derniers mois.
Certes, ces attaques ont entraîné des dommages très divers : une perte de productivité (pour 38 % des RSSI Français), des pertes de données clients (33 %) et des pertes de données employés (32 %).

Pour certains responsables d’entreprises un peu trop véloces à la conclusion, ce chiffre dramatique est la preuve que « la cyber-sécurité, ça ne fonctionne pas ». Pour bien des experts « sécu » en revanche, il n’est que la énième preuve que nos entreprises continuent de négliger les fondamentaux de la sécurité et espèrent bien trop naïvement qu’une multiplication d’outils défensifs suffira à combler leur négligence. Comme si un ensemble de rustines suffisaient à changer la nature profonde d’une passoire !

Preuve en est, l’étude relève que seuls 4 responsables sécurité français sur 10 peuvent répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? » !

L’étude cherche surtout à démontrer que les stratégies de l’entreprise et celles de l’équipe RSSI sont rarement alignées. La cyber-sécurité est encore trop approchée de façon silotée alors qu’elle est par nature extrêmement transversale. Moins de la moitié des participants à l’étude consultent régulièrement leurs homologues lorsqu’ils développent des stratégies pour l’entreprise ou la cyber-résilience.

Pourtant les entreprises ont tout à gagner à créer une dynamique où responsables de sécurité et dirigeants communiquent et alignent leurs objectifs.
Selon l’étude, les entreprises qui ont réussi à mettre en place une telle dynamique se montrent 8 fois plus susceptibles de rendre compte du niveau de sécurité : 90 % de ces « RSSI » vraiment alignés sur les objectifs de l’entreprise sont sûrs ou complètement sûrs de pouvoir démontrer que les investissements de cyber-sécurité ont des répercussions positives sur les performances de l’entreprise contre 55 % de leurs homologues travaillant en vase clos.

En outre, 85 % de ces RSSI ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l’entreprise, contre 25 % de leurs homologues travaillant en vase clos.
L’étude montre en effet que les indicateurs des RSSI n’offrent souvent pas de contexte du point de vue du risque pour l’activité. Peu d’équipes de sécurité utilisent des indicateurs de menace qui témoignent du risque pour l’activité. D’où la nécessité de nouvelles pratiques de reporting à même d’aider à mieux aligner les réalisations cyber-résilience sur les objectifs de l’entreprise.

« À l’avenir, il y aura deux types de RSSI : ceux qui s’alignent directement sur l’entreprise, et tous les autres. La seule manière de réussir dans ce contexte d’accélération digitale est de considérer l’aspect « cyber » dans chaque question, décision et investissement de l’entreprise, estime Renaud Deraison, Chief Technology Officer et co-fondateur de Tenable. Pour nous, cette étude montre que les entreprises progressistes voient la stratégie de cybersécurité comme un composant essentiel de l’innovation et que, lorsque les équipes sécurité et l’entreprise travaillent main dans la main, les résultats peuvent marquer un changement radical. »