Selon une récente étude menée par Forrester Analytics, les entreprises consacrent en moyenne 37 jours et 2,4 millions de dollars pour détecter une faille de cybersécurité et s’en remettre. Pour déterminer dans quelle mesure la compréhension mutuelle entre les dirigeants et les équipes de sécurité de l’information affecte la cyber-résilience des entreprises, Kaspersky a mené une enquête mondiale auprès de plus de 1300 chefs d’entreprise.

D’après les résultats de l’étude, 98 % (en France comme au global) des répondants n’occupant pas de postes informatiques ont été confrontés à des problèmes de communication concernant la sécurité des systèmes numériques. Quant aux conséquences qui en découlent généralement, une rupture de communication entraîne d’importants retards dans les projets (67 %, jusqu’à 73 % en France et même 81 % aux États-Unis !) et des incidents de cybersécurité (62 %, 59 % en France). Près d’un tiers des répondants ont même déclaré avoir été confrontés à ces problèmes plus d’une fois. Parmi les autres conséquences négatives, on trouve aussi les dépenses inutiles, la perte d’un collaborateur précieux ou encore la détérioration des relations entre les équipes, des situations auxquelles 61% des répondants disent avoir été confrontés.

Avez-vous déjà été confronté aux conséquences négatives suivantes causées par une mauvaise communication en matière de sécurité informatique (données mondiales) ?

En plus de nuire aux indicateurs d’activité de l’entreprise, le manque de clarté dans les communications avec les employés chargés de la sécurité informatique peut également miner le moral de l’équipe IT, et amène les dirigeants à remettre en question les compétences et les capacités des employés qui la composent. De plus, 24% des cadres français (28% au global !) admettent que les malentendus leur font perdre confiance dans la sécurité de l’entreprise et 31% (26% au global) d’entre eux trouvent que cette situation joue sur leur anxiété, ce qui affecte leur performance au travail.
« Une communication claire entre les dirigeants d’une entreprise et les responsables de la sécurité informatique est une condition préalable à la sécurité des entreprises. » commente Bertrand Trastour, DG France de Kaspersky. « L’enjeu ici est de se mettre à la place des autres, d’anticiper et de prévenir les malentendus pouvant devenir critiques. Cela signifie que, d’une part, le RSSI doit connaître le langage de base des entreprises pour mieux expliquer les risques existants et la nécessité de mettre en place des mesures de sécurité robustes. D’autre part, les entreprises doivent comprendre que la sécurité de l’information au XXIe siècle fait partie intégrante de leur activité, et que le fait de la budgétiser est un investissement essentiel dans la protection de l’entreprise. »

Pour fluidifier la communication entre les équipes de sécurité informatique et les équipes commerciales au sein de l’entreprise, Kaspersky émet les recommandations suivantes :
• Comprendre les professionnels d’une autre sphère requiert non seulement de l’empathie, mais aussi des connaissances supplémentaires. Les agents de sécurité informatique pourraient obtenir plus d’informations sur les termes et concepts de base de l’entreprise grâce à des formations, et les cadres non informatiques pourraient eux aussi en profiter pour se mettre dans la peau d’un RSSI et ainsi visualiser les principaux défis en matière de sécurité informatique.
• Les responsables informatiques et non-informatiques ne doivent pas s’enfermer dans des "bulles d’information" professionnelles hermétiques et séparées. Rester au courant de l’agenda des commerciaux et de celui de la cybersécurité est une autre clé pour une communication réussie et une compréhension mutuelle entre les équipes.
• Les spécialistes de la cybersécurité doivent utiliser des arguments fiables et compréhensibles lorsqu’ils communiquent leurs besoins au conseil d’administration et justifient leur budget. Utilisez les renseignements sur les menaces et les mesures de sécurité les plus pertinentes pour votre secteur d’activité et la taille de votre entreprise afin de prouver la probabilité des risques et les mesures de protection nécessaires. Des ressources telles que l’IT Security Calculator et les rapports basés sur les observations d’experts peuvent considérablement faciliter cette tâche.
• Aujourd’hui, alors que les cybermenaces sont de plus en plus importantes et que les entreprises sont contraintes d’augmenter leurs budgets de cybersécurité, il est extrêmement important d’allouer les investissements en cybersécurité à des outils dont l’efficacité et le retour sur investissement sont prouvés. Cela signifie que les outils qui réduisent le niveau des faux positifs, le temps de détection des attaques, le temps passé sur chaque cas et d’autres paramètres sont importants pour toute équipe de sécurité informatique.