Sécurité : des patrons indifférents ou simplement inconscients ?
La question semble particulièrement pertinente au regard des résultats d’une étude menée au CyLab de l’université de Carnegie Mellon, pour le compte de RSA, auprès de personnes à hautes responsabilités dans des entreprises de la liste Forbes Global 2000. Celle-ci a été présentée en amont de la conférence RSA.
Cela semble à tout le moins préoccupant. Pour RSA, le CyLab de Carnegie Mellon a sondé, l’an passé, des PDG et des administrateurs de grandes entreprises figurant sur la liste Forbes Global 2000. La principale conclusion de Jody Westby, qui a supervisé l’étude, est sans appel : les dirigeants ont encore du mal à associer les «risques IT à des risques pour l’entreprise ». Pour elle, les «conseils d’administration et le management senior n’exercent pas encore la gouvernance appropriée pour protéger la confidentialité et la sécurité de leurs actifs numériques ». Les chiffres sont éloquents : dans 42 % des cas, le conseil d’administration n’examine et ne valide que «rarement ou jamais » les règles principales sur la confidentialité et les risques de sécurité IT. De la même manière, les rôles et responsabilités des personnels chargés de ces questions ne sont étudiés et validés que rarement ou jamais dans 56 % des cas. Pour les budgets sécurité IT ? Pas mieux : la direction ne s’en préoccupe que rarement ou jamais dans 54 % des cas. La bonne nouvelle - car Jody Westby en a tout de même trouvé une -, c’est que seulement 25 % des conseils d’administration ne reçoivent que rarement - sinon jamais - de rapports de l’encadrement senior sur la sécurité IT. Sans avoir de réponse quant au pourquoi de cette situation, elle avance prudemment la possibilité que le conseil ne demande tout simplement pas ces données. Ce qui ne serait pas totalement incohérent avec les résultats précédents.
Autre conclusion peu surprenante au regard de ces éléments, «les RSSI se plaignent de ne pas réussir à attirer l’attention de leur management senior et des conseils d’administration, ainsi que de budgets inadéquats ». Toutefois, Jody Westby assure constater des améliorations structurelles, comme l’émergence de Comités du Risque chargés de la gestion des risques, en général, de manière distincte des comités d’audit : c’est le cas pour 46 % des sondés en 2012, contre 8 % en 2008. Mieux, pour 94 % des sondés, leur entreprise est dotée d’un programme formel de gestion des risques d’entreprise... contre 47 % en 2008. Et ces programmes intègrent le risque IT dans 94 % des cas, contre 67 % il y a quatre ans. La situation a donc progressé et Jody Westby y voit des signes «encourageants ». Mais il y reste manifestement encore d’importants progrès à faire.