Un rapport de l’éditeur Delinea met en avant un manque de maturité d’une partie des directions générales sur le sujet de la cybersécurité. Il l’attribue en partie aux compétences insuffisantes des RSSI en matière de communication.
Delinea est un éditeur spécialisé dans la gestion des accès à privilèges (PAM, Privileged Access Management). L’éditeur vient de publier une nouvelle étude mondiale menée auprès de plus de 2000 RSSI. Celle-ci souligne le manque d’investissement des dirigeants dans la cybersécurité. Ainsi, 61% des RSSI interrogés pensent que les dirigeants négligent encore et toujours le rôle clé de la cybersécurité. Seuls 37 % des répondants français jugent que leur direction ou conseil d’administration comprennent bien son rôle.
L’un des aspects les plus amusants de l’étude montre justement à quel point la stratégie de cybersécurité de l’entreprise est diversement perçue. Pour les CISO et DSI, les entreprises sont essentiellement en pleine lutte contre des cybermenaces très actives. Pour les experts IT, le manque de moyens impacte l’efficacité de la stratégie mise en œuvre. Les CEO estiment quant à eux, qu’il est plutôt l’heure d’instaurer un souffle nouveau autour de la cybersécurité.
Selon l’étude, pour presque un tiers des RSSI interrogés, la cybersécurité n’est vraiment prise en compte que dans le but de respecter la réglementation.
Conséquence, presque le même pourcentage de RSSI français déclarent que cette perception déficiente a entraîné une augmentation du nombre de cyberattaques réussies dans leur entreprise. Outre ces attaques, les conséquences se déclinent également par un retard dans les investissements (32 % en France) et dans la la prise de décisions stratégiques.
Autre impact négatif, pour 23 % des personnes interrogées en France, les équipes en charge de la sécurité sont de plus en plus stressées. Ce n’est pas une surprise, ce ‘stress’ de la profession a déjà plusieurs fois été mis en évidence dans différentes études au cours des derniers mois.
Plus positif, l’étude relève une coordination croissante entre les métiers et les équipes chargées de la sécurité même si bien des progrès restent à faire. Environ 40 % des organisations françaises documentent les politiques et les procédures pour faciliter l’alignement.
Le rapport zoome également sur les indicateurs utilisés pour mesurer l’efficacité de la cybersécurité. En France, le nombre d’attaques évitées est cité comme l’indicateur de réussite le plus important (41%), suivi par la réalisation des objectifs de conformité (30 % ) et la réduction des coûts liés aux incidents de sécurité (22 %).
Pour poursuivre cette évolution, plusieurs freins perdurent. Une partie des RSSI s’estiment insuffisamment compétents en termes de communication pour présenter des analyses de rentabilité à leur conseil d’administration et à leur direction. « La mentalité de ces derniers doit également évoluer. Les dirigeants doivent envisager la cybersécurité non seulement en termes de conformité ou de protection de l’entreprise, mais aussi en valeur ajoutée à un niveau plus stratégique », déclare Joseph Carson, Chief Security Scientist et Advisory CISO chez Delinea. Il ajoute pour conclure que « l’alignement entre la cybersécurité et les objectifs de l’entreprise est essentiel pour réussir »