Accueil Etudes Les conseils d’administration (enfin) préoccupés par la cybersécurité

Les conseils d’administration (enfin) préoccupés par la cybersécurité

Spécialisée dans la cybersécurité et la conformité, l’entreprise californienne Proofpoint vient de présenter les conclusions de son deuxième rapport annuel axé sur perçoivent la perception du risque cyber par les conseils d’administration. Réalisée auprès de grandes entreprises à l’échelle mondiale, l’enquête fait ressortir une prise de conscience certaine, mais également une différence de point de vue avec les RSSI.

Intitulé “La Perspective du Conseil d’Administration pour la Cybersécurité en 2023”, le dernier rapport de Proofpoint repose sur une enquête mondiale menée en juin 2023 auprès de 659 membres de conseils d’administration en Europe, en Asie et en Amérique, au sein d’entreprises employant plus de 5 000 personnes et opérant dans divers secteurs. Parmi les principales conclusions, les résultats de l’enquête révèlent que, en France, plus de la moitié des membres du conseil d’administration (52 %) expriment des préoccupations quant à l’impact des solutions d’intelligence artificielle générative telles que ChatGPT sur la sécurité de leur entreprise. Bien que légèrement en dessous de la moyenne mondiale (59 %), les membres du conseil d’administration français demeurent inquiets. En effet, 4 sur 5 (80 %) estiment être exposés à des cyberattaques matérielles (contre 78 % en 2022), et 46 % estiment être insuffisamment préparés pour faire face à une attaque de grande envergure (contre 40 % l’année précédente). En France, les membres du conseil d’administration sont fortement conscients de ces évolutions, avec 84 % d’entre eux considérant la cybersécurité comme une priorité. De plus, 80 % estiment que leur conseil d’administration a une compréhension claire des risques liés à la cybersécurité auxquels ils sont confrontés, et 68 % estiment avoir investi de manière adéquate dans ce domaine.

Des RSSI de plus en plus inquiets

 Le rapport examine trois domaines essentiels : les cybermenaces et les risques auxquels les conseils d’administration sont exposés, leur niveau de préparation pour faire face à ces menaces, et leur collaboration avec les RSSI, dont les points de vue ont été mis en évidence dans le rapport “Voice of the CISO 2023” publié en mai dernier. Les deux rapports indiquent que, d’une année à l’autre, le nombre de RSSI se sentant vulnérables et mal préparés augmente, mais les données montrent également une intensification des interactions entre les administrateurs et les responsables de la sécurité, ce qui constitue un signe positif pour la résilience cyber des organisations. 

Pourcentage de Conseil d’Administration à l’aise pour prendre des décisions
concernant les problèmes de cybersécurité qui affectent l’entreprise.

Les résultats du rapport Board Perspective 2023 de Proofpoint remontent que :

  • L’IA générative inquiète les conseils d’administration alors que des outils tels que ChatGPT ont été largement mis en avant ces derniers mois, 52 % des membres de conseils d’administration français interrogés (59 % au niveau mondial) considèrent cette technologie émergente comme un risque pour la sécurité de leur organisation.
  • Les conseils d’administration français sont légèrement plus préoccupés par les risques cyber comparés à l’année dernière : 80 % des Français interrogés (73 % au niveau mondial) estiment que leur organisation court un risque de cyberattaque d’envergure, contre 78 % en 2022 (65 % au niveau mondial).
  • La sensibilisation et le financement ne se traduisent pas par un état de préparation : 84 % des membres de conseils d’administration français (73 % au niveau mondial) reconnaissent que la cybersécurité est une priorité pour eux, 80 % (72 % dans le monde) pensent que leur conseil d’administration comprend clairement les risques cyber auxquels ils sont confrontés, 68 % (70 %) pensent qu’ils ont suffisamment investi dans la cybersécurité. Par ailleurs, 92 % (84 %) pensent que leur budget lié à la cybersécurité augmentera au cours des 12 prochains mois. Cependant, ces efforts ne se traduisent pas par une meilleure préparation : 46 % (53 % dans le monde) considèrent toujours que leur organisation n’est pas préparée à faire face à une cyber-attaque au cours des 12 prochains mois.
  • Les membres des conseils d’administration français et les RSSI n’ont pas les mêmes points de vue quant aux menaces les plus importantes : Les premiers ont classé les logiciels malveillants (48 %), le smishing/vishing (40 %) et la fraude par courriel/BEC (38 %) parmi leurs principales préoccupations. Ces chiffres sont pour la plupart différents de ceux relevés auprès des RSSI, qui eux classent en premier la fraude par e-mail/BEC (35 %), suivie par les menaces internes (33 %), puis les attaques sur la chaîne d’approvisionnement (32 %).
  • Les membres de conseils d’administration français ne sont pas complètement alignés avec les RSSI concernant le risque interne et la protection des données : alors que la plupart des membres de conseils d’administration (72 % — 63 % au niveau mondial) et des RSSI français (75 % — 60 % au niveau mondial) s’accordent à dire que l’erreur humaine est leur plus grand risque, les membres du conseil d’administration sont beaucoup plus confiants dans la capacité de leur organisation à protéger les données — 90 % des conseils d’administration partagent ce point de vue (75 % au niveau mondial), contre seulement 70 % des RSSI (60 % au niveau mondial).
  • Une meilleure veille sur les menaces, des ressources cyber supplémentaires, un budget plus important et des réglementations cyber plus strictes figurent en tête de la liste de souhaits des conseils d’administration : 40 % des administrateurs français (35 % au niveau mondial) ont déclaré que la cybersécurité de leur organisation bénéficierait d’une meilleure veille sur les menaces, 38 % (35 % dans le monde) souhaiteraient disposer de plus de ressources cyber, 38 % (37 % au niveau mondial) voudraient y allouer un budget plus important et 38 % souhaiteraient des réglementations cyber plus strictes.
  • Les interactions et les relations entre les conseils d’administration et les RSSI s’améliorent progressivement : 56 % des administrateurs français déclarent interagir régulièrement avec les responsables de la sécurité (53 % au niveau mondial). Bien qu’il s’agisse d’une augmentation par rapport à l’année dernière (51 % contre 47 %), près de la moitié des conseils d’administration n’ont toujours pas de relations solides avec leurs RSSI. Les membres du conseil d’administration et leurs RSSI sont généralement d’accord lorsqu’ils interagissent, avec 80 % (65 % dans le monde) des membres du conseil d’administration déclarant qu’ils ont une vision commune avec leurs RSSI et 67 % (62 % dans le monde) des RSSI pensant de même.
Pourcentage des membres de CA qui affirment interagir régulièrement avec les RSSI
  • La responsabilité personnelle est une préoccupation pour les conseils d’administration et les RSSI : 82 % des membres de conseils d’administration français (72 % au niveau mondial) se disent préoccupés par leur responsabilité personnelle à la suite d’un incident de cybersécurité dans leur propre organisation, et 81 % (62 %) des RSSI sont du même avis.