Etude Ivanti : 55 % des professionnels de l’IT et de la cybersécurité estiment que les dirigeants hors département IT ne comprennent pas la gestion des vulnérabilités

août 2024 par Ivanti

Ivanti présente les conclusions de son rapport « Aligning Perspectives : Cyber Risk Management in the C Suite » (Aligner les points de vue : Gestion des cyber risques par les hauts dirigeants). Ce rapport insiste sur le fait que les Responsables de la sécurité des systèmes d’information (CISO) doivent communiquer efficacement à propos des risques en amont de la chaîne de direction.

Les cybermenaces gagnent rapidement en taille et en sophistication, principalement en raison de l’évolution rapide de la technologie, de la sophistication croissante des cyberpirates et de l’expansion des surfaces d’attaque liée aux systèmes et périphériques interconnectés. 95 % des professionnels IT et de sécurité pensent que les menaces de sécurité vont devenir plus dangereuses en raison de l’IA. Pourtant, malgré cet accroissement des risques, près d’un tiers des professionnels de sécurité et IT n’ont mis en place aucune stratégie documentée pour faire face aux dangers de l’IA générative. Dans l’environnement actuel, les CISO jouent un rôle encore plus critique dans l’entreprise, car un grand nombre de leurs décisions affectent l’entreprise dans son ensemble.

Les principales conclusions du rapport sont notamment les suivantes :

• Les responsables (hors département IT) sont trop confiants : bien que 60 % des dirigeants extérieurs au département IT se disent « très », voire « extrêmement confiants » en la capacité de leur entreprise à prévenir ou bloquer un incident de sécurité dommageable dans les 12 mois à venir, 46 % seulement des professionnels IT partagent ce niveau de confiance. Cet écart suggère que les dirigeants extérieurs au département IT ne comprennent peut-être pas vraiment les risques que pose la multiplication des menaces de sécurité.

• La gestion des vulnérabilités est mal comprise : 55 % des professionnels IT et de sécurité affirment que les dirigeants hors département IT ne comprennent pas vraiment la gestion des vulnérabilités. Et, en majorité, ces dirigeants extérieurs au département IT le confirment : 47 % disent n’avoir qu’un faible niveau de compréhension de la gestion des vulnérabilités. Quand les responsables ne comprennent pas la gestion des vulnérabilités, ils ne réalisent sans doute pas à quel point leurs changements de priorités impactent la sécurité de leur entreprise. En fait, plus de 1/4 des professionnels IT déclarent que la gestion des correctifs est compromise par les changements de priorités des dirigeants.

• Les points de vue des dirigeants et des équipes Sécurité ne s’alignent pas, concernant les cyber-risques : hors du département IT, les dirigeants sont plus enclins à se concentrer sur l’impact financier, légal et de perte de réputation que leurs homologues des équipes IT et Sécurité. Par exemple, 24 % des dirigeants exécutifs considèrent que l’impact des cyber-risques sur la réputation est « élevé », contre seulement 15 % des CISO.

« Le rôle du CISO est de communiquer efficacement à propos des risques réels auxquels l’entreprise est confrontée, et à expliquer comment les différents types d’incident de sécurité impactent l’entreprise… Aujourd’hui plus que jamais. », affirme Mike Riemer, Field CISO chez Ivanti. « Le paysage des menaces devient de plus en plus volatile et imprévisible, et les CISO sont chargés de permettre au personnel de rester productif et en sécurité. La réussite de l’équipe CISO est indispensable pour garantir le succès de toute l’entreprise, c’est pourquoi la cybersécurité est devenue un sujet de discussion au sein de conseil d’administration. »

Le rapport explique comment les CISO peuvent quantifier efficacement l’impact des événements de sécurité sur les autres acteurs de l’entreprise, utiliser la gestion des vulnérabilités pour gérer efficacement les risques de cybersécurité de leur entreprise, et obtenir que les hauts dirigeants adhèrent à long terme à la vision du CISO.

Méthodologie

Ce rapport repose en partie sur deux études menées par Ivanti fin 2023 et début 2024 : Rapport « 2024 Everywhere Work Report : Empowering Flexible Work » (Rapport 2024 sur l’Everywhere Work : Permettre un travail souple) et « 2024 State of Cybersecurity : Inflection Point. » (État de la cybersécurité en 2024 : Le point d’inflexion). Pour ces deux études, nous avons interrogé au total 16 200 dirigeants exécutifs, professionnels IT, professionnels de sécurité et travailleurs de bureau. Ce rapport porte spécifiquement sur les 3 059 dirigeants, et professionnels IT et de sécurité interrogés lors de ces deux études.