Pour près de 40% des cyber-professionnels français, les problématiques de sécurité ne sont pas prises en compte à leur juste valeur au sein de la direction. Une étude Trellix révèle que le risque cyber peine à s’imposer comme une priorité au sein des conseils d’administration.
Tribune – Une nouvelle étude Trellix, spécialiste de la cybersécurité et pionner dans la détection et de la réponse étendues (XDR), révèle une importante déconnexion entre les professionnels de la cybersécurité et les cadres dirigeants. Bien que les conseils d’administration aient conscience des risques cyber, près de quatre cyber-professionnels sur 10 (38 %) affirment que leur direction n’accorde pas suffisamment d’attention à la sécurité informatique de l’entreprise. La cybersécurité serait selon eux traitée le plus souvent comme une simple “case à cocher”.
Si la quasi-totalité (86%) des cyber-professionnels français s’accordent à dire que les conseils d’administration comme les directions d’entreprises ont bien conscience des risques cyber, environ une personne interrogée sur trois (27%) souligne que ces entités dirigeantes ne considèrent pas la cybersécurité comme une priorité. Il apparaît ainsi peu surprenant que 38% des cyber-professionnels interrogées déclarent parmi l’une de leurs plus grandes frustrations professionnelles le sentiment d’être sous-estimés par leur supérieur hiérarchique.
« La mise en place d’une cyberculture au sein des organisations doit aujourd’hui faire partie des priorités à l’ordre du jour des conseils d’administration. L’impulsion doit venir d’en haut et requérir trouvent un langage commun pour discuter des cyber risques, de comment les gérer, et du rôle du conseil d’administration dans la mise en œuvre d’une stratégie cybersécurité pérenne », déclare Fabien Rech, Senior VP EMEA, Trellix.
De façon rassurante, deux tiers (62 %) des répondants confirment que des discussions régulières sur la cybersécurité et la conformité ont lieu avec leur management et les équipes dirigeantes. Un quart (29 %) des professionnels français de la cybersécurité confirment qu’une attaque est généralement signalée au conseil d’administration dans l’heure qui suit. Une proportion similaire (33%) admet toutefois qu’il faut au moins deux jours pour signaler une attaque à la direction. Cette différence d’intérêt peut avoir un impact sur la rapidité avec laquelle la cyber-attaque est adressée et donc son impact sur l’entreprise.
« Pour les RSSI, DSI ou CTO, cela implique qu’ils doivent définir clairement les principaux cyber-risques qu’encourt leur organisation et l’impact commercial que ces attaques peuvent avoir. Dans un contexte où les attaques sont nombreuses et de plus en plus complexes, une des clés de la cyber-résilience repose sur la mise en place de solutions de sécurité capables de s’adapter aux menaces – à l’image de ce que proposent les architectures XDR », conclut Fabien Rech.
Méthodologie
L’étude, menée par Coleman Parkes, a interrogé 9 000 professionnels de la cybersécurité travaillant dans des entreprises de 500 employés ou plus sur quinze marchés différents, dont la France.