La cybersécurité, enjeu de mieux en mieux intégré par les directions générales
Une enquête réalisée par IDC France en partenariat avec le Cesin et le cabinet Eneid-Transition montre que la perception qu'ont les directions générales de la cybersécurité a rapidement évolué au cours des deux dernières années.
PublicitéEn partenariat avec le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique) et Eneid-Transition, cabinet spécialisé dans le management de transition, IDC France a mené une enquête auprès de 80 décideurs cyber français (DSI et RSSI) de grandes entreprises pour examiner la maturité des dirigeants en termes de cybersécurité. Les résultats montrent une évolution nette et encourageante : en effet, il y a deux ans, près de six entreprises sur dix considéraient la sécurité numérique comme une direction technique ou un centre de coûts. Cette proportion tombe à 31% en 2021 et devrait continuer de diminuer pour atteindre 22% dans deux ans. Désormais, la majorité des organisations perçoivent la cybersécurité comme un contributeur clef à l'activité de l'entreprise : 40% cette année, un chiffre qui devrait atteindre 54% d'ici deux ans. Ce basculement provient à la fois de l'implication des directions générales sur le sujet et de la proximité accrue des RSSI avec l'équipe dirigeante. Ainsi, dans 75% des organisations interrogées, le RSSI peut passer des messages au Comex a minima deux ou trois fois par an.
Toutefois, l'étude révèle également qu'il reste encore des points d'amélioration. Pour mesurer la maturité cyber des dirigeants, IDC a établi un indice basé sur plus de 60 critères et quatre axes d'analyse : qualité de la relation DG / responsable cyber, pilotage de la cybersécurité, actions de sensibilisation à la cyber et capacité de réactions aux attaques. La moyenne sur l'ensemble des répondants s'élève à 47/100, avec 6% seulement d'entre eux qui atteignent le niveau « cyber-ready » (score supérieur à 75/100). « L'analyse des résultats obtenus à l'indice Cesin-Eneid montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », indique Reynald Fléchaux, responsable des études chez IDC France.
Des efforts à réaliser sur la préparation de crise
Parmi les progrès réalisés par les entreprises figure une meilleure prise en compte de la sécurité dans le cadre des projets IT. Ainsi, dans près de 3 organisations sur 4, tous les projets doivent impérativement respecter un cadre de sécurité, y compris les projets digitaux menés hors de la DSI. Par ailleurs, le RSSI est consulté en amont dans près de six entreprises sur dix (56%). Les entreprises ont également progressé sur l'évaluation du risque financier associé aux cyberattaques : 75% des décideurs cyber interrogés se disent ainsi confiants dans les évaluations réalisées par leur DG ou leur Comex sur ce risque. De ce fait, les critères jugés les plus importants pour déterminer les budgets consacrés à la cybersécurité sont liés à la perception des risques : attaques récentes contre l'organisation, médiatisation d'attaques contre d'autres entreprises et exposition aux risques se classent en tête, tandis que les critères standards sont considérés comme peu importants (alignement sur les budgets de la DSI ou du support, benchmarks de dépenses...) Parmi les entreprises qui ont dévoilé leur niveau de dépenses, 38% consacrent entre 250 et 500 euros par salarié et par an à la cybersécurité. 36% dépensent moins tandis que 26% consacrent un investissement plus important au sujet.
PublicitéLes résultats soulignent néanmoins des zones où les organisations doivent progresser, en particulier en ce qui concerne la préparation de crise. Ainsi, chez plus de la moitié (54%) des répondants, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées, tandis que 35% seulement parviennent à mener des exercices de gestion de crise impliquant le Comex ou la direction générale. Alain Bouillé délégué général du Cesin, estime également que les entreprises doivent travailler sur deux autres points tout aussi essentiels pour s'améliorer : « D'abord, sur une meilleure compréhension de leur cyberdépendance : de qui l'entreprise dépend-elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c'est ce qui fait aujourd'hui la différence et permet d'en limiter les conséquences. »
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire