En partenariat avec le Cesin et ENEID-Transition, le cabinet d’études IDC a publié fin octobre une étude illustrant l’évolution des mentalités des directions générales en matière de cybersécurité. Elles intègrent mieux la problématique depuis la pandémie.
Menée entre février et mars 2021 auprès de 80 décideurs cyber en France, une étude d’IDC France,réalisée en partenariat avec le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et ENEID-Transition (cabinet spécialisé dans le management de transition), témoigne de l’évolution rapide des mentalités en matière de cybersécurité.
La sécurité numérique est de moins en moins considérée comme une direction technique ou un centre de coûts
Il y a seulement deux ans, près de six entreprises sur dix considéraient la sécurité numérique comme une direction technique ou un centre de coûts. Une part ramenée à 31% aujourd’hui et qui tombera à 22% dans deux ans. Ce changement de pied doit beaucoup à l’implication des directions générales sur le sujet, et à la capacité offerte aux responsables de la cybersécurité de porter leurs messages au plus haut niveau de l’organisation. Dans 75% des organisations françaises, le RSSI a l’opportunité de passer directement des messages en Comex plusieurs fois par an.
C’est cette implication des directions générales qu’IDC a mesuré via l’indice CESIN-ENEID de maturité cyber des dirigeants. Son score est de 47/100 en moyenne pour les 80 entreprises interrogées. « L’analyse des résultats obtenus à l’indice CESIN-ENEID montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », détaille Reynald Fléchaux, responsable recherche chez IDC France.
Vers une meilleure prise en compte de la cybersécurité au sein des projets IT
L’influence grandissante des directions de la cybersécurité se traduit notamment par une bonne prise en compte de la cybersécurité au sein des projets IT. Dans environ 3 organisations sur 4, tout projet doit systématiquement se conformer à un cadre de sécurité. Qu’il s’agisse de projets classiques ou de projets digitaux, alors que ces derniers avaient parfois tendance, ces dernières années, à s’affranchir des bonnes pratiques impulsées par la DSI. De même, le risque financier associé aux cyberattaques est désormais plutôt bien évalué par les organisations. Interrogés sur la faculté de leur DG et de leur Comex à bien anticiper les pertes financières qui découleraient d’une attaque réussie sur les systèmes d’information, 75% des DSI et RSSI se disent tout à fait ou plutôt confiants dans la pertinence de cette évaluation.
Préparation de crise : un axe de progrès
Toutefois, l’étude met aussi en évidence les progrès qui restent à accomplir. Notamment en matière de préparation de crise. Dans 54% des entreprises interrogées, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées.
Pour Alain Bouillé, le délégué général du CESIN, face à la montée en puissance des menaces à laquelle nous assistons, les entreprises doivent travailler sur deux autres points essentiels : « D’abord, sur une meilleure compréhension de leur cyber-dépendance : de qui l’entreprise dépend elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c’est ce qui fait aujourd’hui la différence et permet d’en limiter les conséquences. »