Etude mondiale

Les RSSI peinent à faire prendre conscience des enjeux de cybersécurité à leur Direction.

 

  • Trend Micro révèle que la plupart des responsables de la sécurité sont sous pression et doivent impérativement clarifier leur discours pour être entendu par leur Direction.
  • Leurs discours doivent être moins techniques et davantage orientés vers les impacts et résultats business.

 

Rueil-Malmaison, le 3 juin 2024 - Trend Micro Incorporated (TYO : 4704 ; TSE : 4704), leader mondial de la cybersécurité, révèle que près de 4 RSSI sur 5 (79 %) ont le sentiment que leur Direction peut parfois minimiser la gravité des risques d’attaque auxquels leur organisation est confrontée par manque de connaissance. Intitulée ‘The Ciso Credibility Gap : How a Communication Breakdown in the Boardroom is Hurting Cyber-Resilience’[1], cette dernière met notamment l’accent sur l’enjeu de crédibilité auquel les RSSI sont confrontés en matière de cybersécurité et de cyber-résilience.

« Plus de la moitié des RSSI affirment que la cybersécurité représente le plus grand risque de compromission de l’activité de leur entreprise. Or, ils peinent à communiquer sur cet enjeu dans un langage compréhensible de leur conseil d’administration. A défaut d’être audibles de leur Direction, ils sont parfois ignorés et accusés d'être alarmistes », déclare Bharat Mistry, Technical Director - Trend Micro.
« À défaut de pouvoir mieux sensibiliser le top management, la cyber-résilience de l'entreprise en pâtira. La première étape consiste à obtenir une source unique de visibilité sur toute la surface d'attaque. »

Revaloriser la fonction de RSSI en interne

Parmi ceux ayant subi des pressions : 43 % déclarent être perçus comme répétitifs ou tatillons et 42 % comme étant trop pessimistes. Plus d’un tiers affirme même avoir été rejeté sans ménagement (33 %).

Le fait est que les conseils d’administration ont peu de temps à consacrer aux présentations des RSSI, qui s’appuient sur un jargon qu’ils ne maîtrisent pas et des indicateurs qui ne leur parlent pas. Une situation à laquelle les RSSI vont devoir pallier pour être entendu. Ils en sont d’ailleurs conscients.

46 % affirment que lorsqu'ils ont eu la capacité de mesurer l’impact financier d’un manque de cybersécurité, ils ont été davantage considérés/écoutés par leur Direction (fraude, coûts de remédiation, perte de productivité, atteinte à la réputation (perte de clients, réduction de la valeur boursière), coûts réglementaires (amendes, pénalités…), perte de propriété intellectuelle….

Combler le fossé de communication persistant avec la Direction.

Pour les RSSI, le défi est grand. Seule la moitié d’entre eux (54 %) est persuadée que leurs dirigeants comprennent parfaitement les risques cyber auxquels leur entreprise est confrontée. Une tendance qui s’accentue quelque peu depuis 2021 (50 %). D’ailleurs, plus d'un tiers affirme que la cybersécurité est toujours considérée comme faisant partie de l'informatique plutôt que comme un risque pour l’entreprise (34 %).

Dans ce contexte, 8 RSSI sur 10 estiment qu'une intrusion de leur système inciterait leur dirigeant à agir plus fermement en matière de cyber risques. Plus de la moitié (58 %) considèrent avoir besoin d’une montée en compétences en matière de communication informatique pour rectifier la situation.

Une maîtrise qui leur permettrait d’expliquer que l’hétérogénéité de l’environnement de cybersécurité pourrait aggraver les défis actuels. Les produits cloisonnés sur la surface d'attaque génèrent des points de données incohérents qui complexifient la présentation d’une vue claire et globale des risques cyber, notamment auprès de la Direction. En facilitant la mise à disposition d’informations probantes sur les risques, sous la forme de tableau de bord, l’emploi d’une plateforme unifiée de gestion des risques de la surface d’attaque (ASRM), pourrait favoriser un investissement maîtrisé.

Les chiffres essentiels en France[2] :

  • 62 % des RSSI interrogés ont déjà rencontré des difficultés à démontrer l’impact chiffré de leur stratégie de cybersécurité.
  • Ils estiment qu’une perte moyenne de 165 387,40 € inciterait leur Direction à agir plus fermement face aux risques de cybersécurité.
  • 56 % estiment que leur dirigeant comprend parfaitement les risques cyber.
  • 90 % des RSSI ont une idée relativement claire de l’appétence de leur organisation aux risques.
  • 94 % des entreprises disposent d’indicateurs pour mesurer la valeur de leur stratégie de cybersécurité.
  • Pour trois-quarts des RSSI, les cyberattaques ont un impact très élevé en matière de risques business.

1. Méthodologie : L’étude a été commanditée par Trend Micro auprès de Sapio Research. Dans ce cadre, 2 600 responsables informatiques travaillant au sein de structures de tailles et d’activités différentes réparties dans plusieurs zones géographiques (LATAM, APAC, Amérique du Nord, Europe et Moyen-Orient) ont été interrogés au cours du 1er trimestre 2024.
2. L’échantillon français est constitué de 100 entreprises, de 250 à plus de 5 000 collaborateurs, issues principalement des secteurs IT (20 %), industrie (14 %) et finance (12 %).

Pour en savoir plus sur les dernières recherches de Trend Micro, rendez-vous ici.