La lecture de notre dernière étude sur le ressenti des efforts en cybersécurité par les responsables concernés et par les directions métier, montre que les services des entreprises ne font pas encore front commun.
Les cyberattaques coûtent aux entreprises des milliards d’euros et peuvent nuire durablement à leur image de marque. Pourtant, les directions métiers et les services dédiés à la cybersécurité ne sont pas toujours d’accord sur les pires risques à éviter ni sur les moyens à mettre en œuvre, comme le révèle une récente étude de Varonis. L’éditeur a demandé à plusieurs entreprises en France, en Allemagne, au Royaume-Uni et aux Etats-Unis si les visions de leurs différents dirigeants étaient alignées lorsqu’il s’agit de prendre une décision en matière de cybersécurité.
Les trois principales craintes ? Les directions en identifient quatre
Les directions métiers et les équipes de sécurité sont d’accord : la perte de données, puis l’exfiltration des documents sont les deux risques majeurs à éviter. En revanche, les opinions divergent sur la troisième priorité. Pour les responsables de la cybersécurité, il faut se protéger contre les ransomwares ; le virus Wannacry dont on estime qu’il aura coûté aux entreprises un total de 4 milliards de dommages en 2017 a traumatisé les consciences des informaticiens. Les cadres dirigeants sont, eux, plus concernés par la corruption des données, à savoir un acte de sabotage qui pourrait modifier des informations critiques ; par exemple le code qui pilote des chaînes de montage.
Les données à d’abord protéger : celles des clients… ou les données financières
Près de 9,7 milliards d’enregistrements ont été perdus ou volés depuis 2013. Nombre d’entre eux étaient liées à des identifiants personnels – comptes bancaires, adresses e-mail, numéros de téléphone, identités, etc. Encore une fois, métiers et sécurité sont d’accord sur les deux types d’informations à protéger en premier : les données des clients (ou des patients) et la propriété intellectuelle (dont les brevets). Ensuite, les directions citent les données de leurs salariés, tandis que les responsables cybersécurité privilégient les données financières.
Les pires dangers font l’unanimité, mais pas dans le même ordre
Les deux groupes de responsables interrogés redoutent les mêmes conséquences d’une cyberattaque sur leur entreprise. Cependant, l’ordre de gravité diverge. Pour les classes dirigeantes, les coûts associés au retour en production, à la mise en conformité et aux pénalités constituent la plus grande crainte. Pour les experts en sécurité, l’atteinte à l’image de marque serait ce qui pourrait arriver de pire.
Une confiance hétéroclite dans la cybersécurité interne
Les responsables de la sécurité et les informaticiens sont pratiquement unanimes (96%) quand il s’agit d’affirmer que les objectifs et les moyens de la cybersécurité interne sont alignés sur les projets de l’entreprise et sur les risques qu’elle encourt. La classe dirigeante est beaucoup plus circonspecte à ce sujet : près d’un quart de ses représentants n’est pas d’accord. Cette divergence suggère que les deux groupes devraient sans doute plus collaborer pour avoir plus le sentiment de lutter ensemble contre les mêmes problèmes.
Les métiers attendent encore des efforts
Neuf répondants sur dix parmi les DSI et les équipes en charge de la sécurité sont optimistes : selon eux, leur entreprise progresse positivement en matière de cybersécurité. Mais seuls sept directeurs métier sur dix sont convaincus par la pertinence des efforts en cours. Il est probable que la recrudescence des cyberattaques contre les grandes entreprises incite les sceptiques à penser qu’il faudrait être plus actif sur ces questions.
Les experts de la sécurité s’estiment plus écoutés qu’ils ne le sont vraiment
94% des informaticiens sont convaincus que leurs conseils en matière de cybersécurité sont suivis jusqu’au plus haut niveau hiérarchique de leur entreprise. Mais seuls 76% des directions métier acceptent de dire qu’ils les écoutent. Cette divergence suggère que les responsables informatiques devraient dialoguer plus avec les directions métier, voire qu’ils devraient être plus intégrés dans les comités de direction.
Un tiers des métiers ne connaît pas l’impact des investissements en cybersécurité
Selon le cabinet Cybersecurity Ventures, les dépenses en produits et services de cybersécurité devraient dépasser les 1000 milliards de dollars au cours des cinq prochaines années. 88% des responsables IT savent évaluer l’intérêt de ces investissements pour la bonne marche des activités de leur entreprise, tandis que près d’un tiers des directions métier n’ont aucune idée de leur impact. Il est légitime d’en déduire que les directions métier ont besoin d’être mieux informées sur la manière d’évaluer ces investissements par rapport à leur chiffre d’affaires.
En conclusion, les directions métiers se sentent toujours otages des cybermenaces. L’arrivée des nouvelles réglementations sur les données, dont le RGPD, mais aussi le California Consumer Privacy Act, ne fait d’ailleurs qu’amplifier les craintes des dirigeants au regard des conséquences que pourrait avoir une cyberattaque contre leur entreprise. C’est, pour les responsables de l’informatique et de la sécurité, l’occasion de mieux se faire entendre, car il apparaît que des progrès restent à faire dans ce domaine.