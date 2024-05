Une étude FTI Consulting révèle d’importantes lacunes en matière de communication entre CISO et dirigeants d’entreprises

mai 2024 par FTI Consulting

Le cabinet FTI Consulting, Inc. révèle les résultats du nouveau volet de son étude CISO Redefined, menée auprès de près de 800 cadres dirigeants. Si les dirigeants interrogés sont convaincus de la nécessité de s’impliquer et de s’investir plus dans la cybersécurité de leurs organisations, les conclusions de cette nouvelle étude soulignent leur préoccupation autour de la capacité de leurs CISO (Chief Information Security Officer) à répondre efficacement aux impératifs de communication. Ces résultats viennent confirmer les craintes exprimées par les 165 CISO interrogés lors du premier volet de l’étude FTI Consulting en 2022.

Principales conclusions de l’étude :

■ 66 % des CISO estiment que les dirigeants ont du mal à comprendre pleinement leur rôle au sein de l’organisation, tandis que 31 % des dirigeants ont exprimé des difficultés à comprendre le retour tangible sur investissement dans la cybersécurité.

■ Alors que 82 % des CISO ressentent le besoin d’améliorer leur image auprès du conseil d’administration, 31 % des cadres dirigeants pensent que leurs CISO dépeignent une image embellie par rapport à la réalité et 30 % estiment que les CISO hésitent à mettre en lumière les vulnérabilités de leur organisation.

■ 31 % des dirigeants estiment ne pas entièrement comprendre les concepts techniques utilisés par le CISO et 28 % estiment que leurs CISO ont du mal à traduire les termes techniques en termes business. Ce sont également 30 % d’entre eux qui font état de cette difficulté lorsqu’il s’agit pour les CISO d’exprimer les risques en termes financiers et concrets.

■ Près de quatre dirigeants sur dix estiment que leur CISO n’est pas totalement préparé à communiquer avec les principales parties prenantes internes et externes, plus d’un tiers des dirigeants estime que leur CISO n’est pas totalement préparé à communiquer auprès de la direction de l’entreprise.

■ L’étude suggère en parallèle une adhésion significative des dirigeants aux approches permettant de combler ce fossé. De fait, 98 % des cadres dirigeants interrogés sont favorables à une augmentation de la formation à la communication des CISO, près de la moitié d’entre eux qualifiant ce besoin d’immédiat.

Guillaume Granier, Senior Managing Director en charge des activités Communication Stratégique de FTI Consulting en France, déclare : « Le constat est clair : il existe trop souvent un déficit de communication entre les dirigeants d’une entreprise et leurs CISO. Lorsque le CISO s’exprime dans un jargon trop technique, la C-suite et le conseil d’administration ne le comprennent pas. Alors que les attentes sont très élevées de part et d’autre, il est indispensable que dirigeants et CISO commencent à parler le même langage afin de pouvoir atteindre leur but commun qui est d’évaluer correctement les risques de cybersécurité auxquels ils font face, s’y préparer efficacement et maîtriser la crise lorsqu’elle survient. »

Thomas Hutin, Senior Managing Director en charge des activités Cybersécurité de FTI Consulting en France, ajoute : « . Les dirigeants ont bien compris le rôle essentiel et central que joue le CISO dans la prévention et la gestion du risque cyber. D’ailleurs, 87% de nos répondants ont déclaré avoir augmenté le pouvoir de décision de leurs CISO. Mais lorsque les dirigeants manquent d’informations claires et adaptées sur les menaces auxquelles ils sont confrontés, ils ont du mal à allouer les ressources adéquates pour maximiser leur résilience et leur préparation. Dans un monde où le risque cyber est partout et inévitable, tout l’enjeu est là ! »