News
Pour près de 40% des cyber-professionnels français, les problématiques de sécurité ne sont pas prises en compte à leur juste valeur au sein de la direction
novembre 2022 par Trellix Threat Labs
Une nouvelle étude Trellix, spécialiste de la cybersécurité et pionner dans la détection et de la réponse étendues (XDR), révèle une importante déconnexion entre les professionnels de la cybersécurité et les cadres dirigeants. Bien que les conseils d’administration aient conscience des risques cyber, près de quatre cyber-professionnels sur 10 (38 %) affirment que leur direction n’accorde pas suffisamment d’attention à la sécurité informatique de l’entreprise. La cybersécurité serait selon eux traitée le plus souvent comme une simple "case à cocher".
Si la quasi-totalité (86%) des cyber-professionnels français s’accordent à dire que les conseils d’administration comme les directions d’entreprises ont bien conscience des risques cyber, environ une personne interrogée sur trois (27%) souligne que ces entités dirigeantes ne considèrent pas la cybersécurité comme une priorité. Il apparaît ainsi peu surprenant que 38% des cyber-professionnels interrogées déclarent parmi l’une de leurs plus grandes frustrations professionnelles le sentiment d’être sous-estimés par leur supérieur hiérarchique.
« La mise en place d’une cyberculture au sein des organisations doit aujourd’hui faire partie des priorités à l’ordre du jour des conseils d’administration. L’impulsion doit venir d’en haut et requérir des dirigeants et des experts en cybersécurité au sein d’une même entreprise qu’ils trouvent un langage commun pour discuter des cyber risques, de comment les gérer, et du rôle du conseil d’administration dans la mise en oeuvre d’une stratégie cybersécurité pérenne », déclare Fabien Rech, Senior VP EMEA, Trellix.
De façon rassurante, deux tiers (62 %) des répondants confirment que des discussions régulières sur la cybersécurité et la conformité ont lieu avec leur management et les équipes dirigeantes. Un quart (29 %) des professionnels français de la cybersécurité confirment qu’une attaque est généralement signalée au conseil d’administration dans l’heure qui suit. Une proportion similaire (33%) admet toutefois qu’il faut au moins deux jours pour signaler une attaque à la direction. Cette différence d’intérêt peut avoir un impact sur la rapidité avec laquelle la cyber-attaque est adressée et donc son impact sur l’entreprise.
« Pour les RSSI, DSI ou CTO, cela implique qu’ils doivent définir clairement les principaux cyber-risques qu’encourt leur organisation et l’impact commercial que ces attaques peuvent avoir. Dans un contexte où les attaques sont nombreuses et de plus en plus complexes, une des clés de la cyber-résilience repose sur la mise en place de solutions de sécurité capables de s’adapter aux menaces – à l’image de ce que proposent les architectures XDR », conclut Fabien Rech.
