Proofpoint a publié aujourd’hui les résultats de son enquête internationale annuelle, Voice of the CISO, menée auprès de plus de 1600 RSSI dans le monde (dont 100 en France) issus de grandes et moyennes entreprises et de différents secteurs. Les enseignements sont nombreux et montrent des RSSI de plus en plus submergés par la menace cyber.
En 2022, alors que 68 % des RSSI français interrogés considéraient la menace d’une attaque cyber comme imminente, ils sont aujourd’hui 74 % à faire ce constat. En France, les évènements de 2022 ont sans doute joué sur le sentiment des RSSI, et pour preuve, l’inquiétude quant aux niveaux de préparation de l’entreprise pour faire face à une attaque ciblée a augmenté : 76 % des RSSI français ne se sentent pas prêts à affronter une cyberattaque de grande ampleur – ils étaient 37 % dans ce cas l’année dernière. “Dans le rapport précédent, nous nous inquiétions du niveau de confiance des RSSI au sortir des vagues de confinements et du passage au travail hybride, ce dernier semblait alors sous contrôle, précise Xavier Daspre, Directeur Technique chez Proofpoint. En France, la vague de cyberattaques sur les infrastructures critiques et vitales, comme les hôpitaux, a démontré à quel point ce risque était réel et préjudiciable. Les RSSI semblent avoir saisi l’ampleur de cette menace, et réalisent maintenant que leur organisation n’est pas suffisamment préparée pour y faire face.” Conséquence de ce changement de dynamique, la mission des RSSI s’est intensifiée, et le retour d’une réalité anxiogène les met à rude épreuve, si bien que 65 % d’entre eux déclarent avoir été victimes d’un épuisement professionnel (ou « burnout ») au cours des 12 derniers mois.
Le départ d’employés cause numéro 1 de la perte de données souvent sensibles
Alors que l’industrie connaît un fort taux de turnover, 88 % des RSSI français (82 % au niveau mondial) affirment que le départ d’employés a entraîné une perte de données souvent sensibles, dont 74 % au cours des 12 derniers mois (contre 63 % à l’échelle globale). Hormis cela, l’erreur humaine demeure, selon les RSSI interrogés, la plus grande vulnérabilité des organisations, même s’ils sont de plus en plus sûrs que leurs employés comprennent le rôle qu’ils ont à jouer dans la protection de l’organisation. Par ailleurs, 70 % des RSSI français (60 % dans le monde) estiment avoir mis en place des contrôles adéquats pour protéger leurs données. “Ces résultats montrent que les efforts ne doivent pas cesser pour les RSSI, qui ont déjà tant travaillé pour surmonter les changements liés à la pandémie et à la nouvelle organisation du travail à distance. Avec des moyens toujours plus limités, ils doivent maintenant faire plus avec moins. Cela va obliger les RSSI à repenser leur organisation et automatiser les tâches qui peuvent l’être pour préserver leur santé mentale et celle de leur équipe.”, conclut Xavier Daspre.
Les principales conclusions pour la France
- Les RSSI français ont à peu près le même niveau d’inquiétude que durant la pandémie, et ils se sentent bien moins préparés à faire face à la menace : 74 % des RSSI français estiment qu’ils risquent de subir une cyberattaque matérielle au cours des 12 prochains mois, contre 68 % en 2021. Cependant, 76 % estiment que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée, contre 37 % l’an dernier et 78 % en 2021.
- La perte de données sensibles est amplifiée par la rotation du personnel : 74 % des responsables français de la sécurité ont déclaré avoir dû faire face à une perte de données sensibles au cours des 12 derniers mois, et 88 % d’entre eux reconnaissent que le départ d’employés a contribué à cette perte. Malgré cela, 70 % des RSSI français estiment avoir mis en place des contrôles adéquats pour protéger leurs données.
- La fraude par courrier électronique reste en tête de liste des menaces les plus importantes : la principale menace perçue par les RSSI français, la fraude par courrier électronique (BEC Business Email Compromise), reste la même que l’année dernière. Cette année, cependant, elle est suivie par les menaces venant de l’intérieur de l’entreprise et les attaques de la chaîne d’approvisionnement de l’organisation. L’année dernière, les principales préoccupations étaient les attaques DDoS et les ransomwares.
- La plupart des organisations sont susceptibles de payer une rançon si elles sont touchées par un ransomware : 72 % des RSSI français pensent que leur organisation paierait pour restaurer les systèmes et empêcher la divulgation de données si elle était attaquée par un ransomware. Et ils comptent sur l’assurance cyber pour transférer ce risque : 73 % ont déclaré qu’ils déposeraient une demande d’indemnisation auprès d’une cyber-assurance pour recouvrer les pertes subies lors de différents types d’attaques.
- Le risque lié à la chaîne d’approvisionnement reste une priorité : 77 % des RSSI français déclarent avoir mis en place des contrôles adéquats pour atténuer le risque lié à leur chaîne d’approvisionnement, ce qui représente une légère augmentation par rapport aux 72 % de l’année dernière. Si ces protections peuvent sembler suffisantes pour l’instant, les RSSI risquent de se sentir limités dans leurs ressources — 65 % d’entre eux déclarent que l’économie fluctuante a eu un impact négatif sur leur budget de cybersécurité.
- Le risque humain est une préoccupation croissante : il y a une augmentation du nombre de RSSI français qui considèrent l’erreur humaine comme la plus grande vulnérabilité cyber de leur organisation — 75 % sont de cet avis dans l’enquête de cette année contre 61 % en 2022 et 56 % en 2021. D’un autre côté, les RSSI sont de plus en plus convaincus que leurs employés comprennent leur rôle dans la protection de l’organisation, 79 % d’entre eux étant de cet avis cette année, par rapport aux 69 % de l’année précédente. Ces chiffres illustrent les efforts mis en œuvre pour mettre en place une solide culture de la sécurité.
- Les RSSI et les conseils d’administration sont légèrement plus en phase : 67 % des RSSI français estiment être alignés avec les membres de leur conseil d’administration sur les questions de cybersécurité. Il s’agit d’une légère augmentation comparée aux 64 % qui partageaient ce point de vue l’année dernière, et aux 63 % qui étaient de cet avis en 2021.
- Les pressions croissantes exercées sur les RSSI rendent leur travail de plus en plus difficile : 75 % des RSSI français estiment être confrontés à des attentes professionnelles excessives, une augmentation significative par rapport aux 51 % qui exprimaient ce sentiment l’an dernier. Si le retour d’une réalité anxiogène peut être l’une des raisons de cette opinion, l’élargissement continu du rôle de RSSI y contribue probablement aussi — en effet, 81 % d’entre eux s’inquiètent pour l’engagement de leur responsabilité civile, et 65 % déclarent avoir été victimes de burnout au cours des 12 derniers mois.
“De nombreux RSSI ne ressentent plus ce sentiment de sérénité qu’ils ont pu brièvement éprouver l’an dernier après avoir traversé le chaos provoqué par la pandémie. De retour au “business as usual”, ils se sont moins assurés des capacités de leur organisation à se défendre contre les cyber-risques, commente Andrew Rose, RSSI pour la région EMEA chez Proofpoint. Notre rapport 2023 Voice of the CISO révèle qu’au milieu des difficultés croissantes liées à la protection de leur personnel et à la défense des données, les RSSI sont mis à l’épreuve avec des attentes plus élevées, l’épuisement professionnel et l’incertitude quant à leur responsabilité civile. L’amélioration des relations entre les responsables de la sécurité et les membres du conseil d’administration nous donne cependant de l’espoir, et ce partenariat permettra aux organisations de surmonter les nouveaux défis auxquels elles sont confrontées cette année et au-delà.”