La déconnexion entre la sécurité et les objectifs de l’entreprise a eu des conséquences négatives pour 89 % des personnes interrogées et a augmenté le succès des cyber-attaques dans un tiers des entreprises en France.
Tribune – Delinea leader des solutions de gestion des accès à privilèges (PAM, Privileged Access Management) pour une sécurité continue, dévoile les résultats d’une enquête mondiale menée auprès de plus de 2 000 décideurs en matière de sécurité informatique (ITSDM). Elle révèle l’impact du manque d’harmonisation entre la fonction de cybersécurité et l’entreprise au sens large.
Interrogés sur la manière dont le conseil d’administration et la direction comprennent la cybersécurité dans l’ensemble de l’entreprise, seuls 37 % des répondants en France pensent que les dirigeants de leur entreprise comprennent bien le rôle de la cybersécurité en tant qu’élément facilitateur de l’activité. 31 % (36% au global) pensent que la cybersécurité n’est considérée importante qu’en termes de conformité et de réglementation, tandis que 25 % déclarent qu’elle n’est pas perçue comme une priorité pour l’entreprise.
Bien que le décalage entre les objectifs de l’entreprise et ceux de la sécurité semble avoir eu au moins une conséquence négative pour un plus grand nombre d’organisations dans le monde (89% contre 82% en France), plus d’un tiers (33 %) des répondants français ont également déclaré qu’il avait entraîné une augmentation du nombre de cyberattaques réussies dans leur entreprise (26% au niveau global).
Les conséquences sur la cybersécurité d’une mauvaise harmonisation des objectifs sont multiples : retard dans les investissements (32 % en France) et dans la prise de décisions stratégiques (34 % au global / 19 % en France). Elle entraine également des augmentations inutiles des dépenses (17 % en France).
Il y a également eu des conséquences pour les individus eux-mêmes : 23 % des personnes interrogées en France ont déclaré que le stress avait affecté l’ensemble de l’équipe de sécurité. De plus, l’incertitude économique mondiale a aggravé la situation, la moitié des personnes interrogées en France déclarant qu’il est de plus en plus difficile d’aligner la cybersécurité sur les objectifs plus généraux de l’entreprise.
Les mesures et les processus ne sont pas axés sur les résultats de l’entreprise
Les processus structurels sont essentiels pour aligner les objectifs. Bien que la France semble être un peu en retard, l’enquête a révélé de manière encourageante que la plupart des équipes de sécurité (56 % contre 62 % au global) se réunissent régulièrement avec leurs homologues au plus haut niveau. En outre, 54% des entreprises, mais seulement 41% en France, ont également intégré des membres de l’équipe de sécurité au sein des services de l’entreprise. Cependant, l’étude démontre qu’il y a des progrès à faire, car moins de la moitié des organisations françaises (40 %) documentent les politiques et les procédures pour faciliter l’alignement tandis que 29 % ont déclaré que l’alignement est ad hoc et n’a lieu que “lorsque c’est nécessaire”.
Le rapport met également en lumière le fait que les indicateurs utilisés pour mesurer et démontrer la valeur de la cybersécurité sont encore strictement liés à des chiffres techniques ou à des activités. En France, le nombre d’attaques évitées est cité comme l’indicateur de réussite le plus important (41%). Il est suivi par la réalisation des objectifs de conformité (30 % ) et la réduction des coûts liés aux incidents de sécurité (22 %).
« La cybersécurité peut être un formidable catalyseur pour les entreprises. Pourtant cette étude montre qu’il y a encore du travail au niveau des conseils d’administration pour faire évoluer les mentalités. Les dirigeants doivent envisager la cybersécurité non seulement en termes de conformité ou de protection de l’entreprise, mais aussi en valeur ajoutée à un niveau plus stratégique », déclare Joseph Carson, Chief Security Scientist et Advisory CISO chez Delinea.
Faire valoir son point de vue auprès du conseil d’administration : les lacunes dans les compétences ITSDM et l’évolution de la structure hiérarchique
L’acquisition de compétences opérationnelles peut permettre d’améliorer l’alignement. Cependant, selon les décideurs interrogés, les compétences techniques sont les plus précieuses pour les responsables de la cybersécurité. Viennent ensuite la communication, la collaboration, le sens des affaires et la gestion du personnel.
Un quart des personnes interrogées en France (25 %) estiment que la présentation d’une analyse de rentabilité à leur conseil d’administration et à leur direction constitue une lacune dans leur propre ensemble de compétences. De plus, 25 % des répondants considèrent que les compétences en matière de communication doivent être améliorées.
L’alignement des objectifs implique également de revoir les lignes hiérarchiques et la visibilité au niveau du PDG. Cependant, l’étude Delinea suggère qu’il y a peu d’appétit pour le changement dans les structures de reporting. En effet, seuls 26% des ITSDMs français pensent que les CISOs ou les plus hauts responsables de la cybersécurité devraient rendre compte au PDG afin d’aligner au mieux la cybersécurité avec les objectifs généraux de l’entreprise.
« L’alignement entre la cybersécurité et les objectifs de l’entreprise est essentiel pour réussir. Cette étude met clairement en évidence les conséquences négatives d’une mauvaise synchronisation des objectifs des équipes. Il est essentiel d’obtenir un accord commun entre les différentes fonctions de l’entreprise, et les indicateurs qui ne se contentent pas de mesurer l’activité de sécurité, mais qui démontrent également l’impact sur les résultats de l’entreprise, sont d’une grande utilité », ajoute M. Carson. « La communication est essentielle. Bien que de solides compétences techniques restent importantes, les responsables de la sécurité doivent être capables de communiquer, d’influencer et de présenter la valeur ajoutée qu’ils apportent aux résultats de l’entreprise, et ce plus fréquemment que jamais. Les responsables de la sécurité qui font preuve de ce mélange de compétences et partageant le même objectif final que l’entreprise sont une force avec laquelle il faut compter. »
Pour plus d’informations, téléchargez le rapport complet sur https://delinea.com/resources/
Méthodologies
Les résultats sont issus d’une enquête en ligne menée par Sapio Research pour le compte de Delinea en mars 2023. 2 007 professionnels de l’informatique et de la sécurité dans 23 pays ont répondu, représentant un échantillon de décideurs.