Les récentes vagues d’attaques cyber contre des entreprises de toutes tailles et de tous secteurs, le développement des pratiques hybrides menant à l’utilisation d’ordinateurs professionnels et personnels ou encore la généralisation du télétravail sont des facteurs ayant mené à une modification de la perception de la cybersécurité en entreprise.
Hier vue comme un sujet technique, elle est aujourd’hui de mieux en mieux intégrée par les directions générales des entreprises. Cette évolution rapide des mentalités en matière de cybersécurité a été mise en avant dans une récente étude menée par le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) – en partenariat avec ENEID-Transition (cabinet spécialisé dans le management de transition) et IDC France. Une étude menée auprès de 80 décideurs cyber en France, et complétée par des entretiens approfondis avec des directions générales.
L’indice de mesure de la maturité cyber des dirigeants
L’implication des directions générales des entreprises françaises a été mesurée au travers de l’indice CESIN-ENEID de maturité cyber des dirigeants, qui repose sur 60 critères rattachés à quatre axes d’analyse : qualité de la relation DG / Responsable cyber; pilotage de la cybersécurité; actions de sensibilisation à la cyber; et capacité de réactions aux attaques.
Il ressort notamment de cette analyse un score de 47/100 en moyenne concernant le niveau actuel de maturité des dirigeants, pour les 80 entreprises interrogées, et, de fait, les points sur lesquelles les organisations françaises peuvent encore progresser dans ce domaine.
Une évolution de la perception et de la prise en compte du métier
L’étude révèle qu’en 2018, près de six entreprises sur dix considéraient la cybersécurité comme un centre de coûts ou une direction technique. Aujourd’hui, cette part est tombée à 31%, et 22% des entreprises seront dans ce cas dans deux ans.
Une évolution qui s’explique notamment par l’implication grandissante des directions générales sur le sujet, ainsi que par les mesures prises permettant aux responsables de la cybersécurité de porter leur message au plus haut niveau de l’organisation, et notamment en Comex. En effet, dans 75% des entreprises françaises, le Responsable de la sécurité des systèmes d’information (RSSI) a l’opportunité de passer directement les messages en Comex plusieurs fois par an, ce qui permet notamment de mieux appréhender et anticiper la menace.
En outre, la cybersécurité semble être de plus en plus prise en compte au sein des projets IT puisque dans environ 3 organisations sur 4, tout projet doit systématiquement se conformer à un cadre de sécurité.
Il apparaît que le risque financier associé aux cyberattaques est également plutôt bien évalué dans les organisations, qui anticipent les pertes financières qui découleraient de telles attaques. On note aussi une plus grande transversalité : le sujet de la cybersécurité implique aujourd’hui les différentes parties prenantes de l’entreprise.
La sensibilisation des salariés aux menaces est, elle aussi, de plus en plus importante, ce qui permet de mieux anticiper – en systématisant l’étude des risques en cybersécurité – et de mieux préparer les crises. Des besoins qui viennent étoffer les missions du responsable de la cybersécurité, également attendu sur l’identification des menaces, la conception du plan de cybersécurité ou encore sur l’analyse des risques liés aux projets.
Une gestion de crise insuffisamment préparée
En dépit des avancées en matière de perception et de mesures mises en place en matière de cybersécurité dans les entreprises, et malgré le fait que 35% des organisations mènent des exercices de gestion de crise impliquant la direction générale et/ou le Comex, près d’un responsable en cybersécurité sur deux indique que leurs dirigeants ne sont pas systématiquement présents lors de ces exercices.
De plus, l’étude révèle que, même si 86% des organisations interrogées ont mis en place des processus de gestion de crise, dans 54% des cas les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées.
Outre la nécessité de renforcer la gestion de crise, selon Alain Bouillé, délégué général du CESIN, les entreprises doivent avoir une meilleure compréhension de leur cyber-dépendance en termes de chaînes de fournisseurs et de partenaires, et être en mesure de détecter, de réagir et de reconstruire.
Il ressort également de cette étude que les entreprises françaises, malgré des avancées dans ce domaine, ont aujourd’hui encore des progrès à faire en matière de sensibilisation auprès des collaborateurs.
Aussi, bien que la plupart des organisations françaises soient entrées dans une démarche proactive en matière de cybersécurité, et que le bilan qui en ressort soit positif, cette étude met aussi en évidence les marges de progrès qu’ils reste à faire au sein des entreprises en matière de cybersécurité. Il apparaît que l’engagement de la direction générale auprès du responsable de la cybersécurité est essentiel afin de mettre en œuvre les actions nécessaires à la cyber protection et à leur efficacité.
Observatoire Systèmes d'Information en partenariat avec le CESIN, le 3 janvier 2022.
L'application mobile
Ne perdez pas le fil !
Les observatoires délivrent des publications synthétiques permettant de suivre et de décrypter les grandes mutations en cours avec une vision globale et transversale. Citoyens, étudiants, dirigeants, collaborateurs, territoires : l'objectif est de permettre à chacun de prendre position et de réagir à son échelle en partageant un socle commun d'informations.