alphaspirit - Fotolia
Cybersécurité : une responsabilité encore largement dévolue à la DSI
C’est le principal enseignement d’une étude réalisée par Palo Alto Networks en Europe. Mais alors que la législation européenne prévoit d’étendre cette responsabilité, les directions des entreprises semblent encore peu préparées.
Une étude réalisée par Palo Alto Networks auprès de 765 décideurs d’entreprises de plus de 1000 collaborateurs, en Allemagne, en France, au Royaume-Uni, mais aussi en Belgique et aux Pays-Bas, met en évidence un décalage important entre les évolutions à venir de la législation européenne en matière de protection des données personnelles et la préparation des entreprises.
La nouvelle directive impose aux contrôleurs des données (les entreprises propriétaires des données), à ceux qui traitent les données (tels que les fournisseurs de cloud et les hébergeurs) de partager leur responsabilité en matière de fuite de données et de violations de la loi.
Las, selon l’étude de Palo Alto, la responsabilité pour protéger l’entreprise contre le risque informatique semble relever encore exclusivement de la DSI. Ainsi, pour 46 % des décideurs sondés, la DSI est responsable. Un avis partagé par 57 % des directeurs informatiques sondés.
C’est sans surprise alors que l’on apprend que 13 % des dirigeants estiment « relativement » comprendre ce à quoi correspond un risque de sécurité informatique pour leur entreprise tout en reconnaissant avoir « encore besoin de Google pour aider à l’expliquer ». Un dixième des employés estiment quant à eux que leurs dirigeants n’ont pas de compréhension réelle du sujet, ou tout du moins suffisante pour protéger effectivement leur entreprise.
Se pose alors la question de la manière dont les organisations évaluent leur posture de sécurité. Et là, pour 25 % des sondés, il s’agit de compter les incidents bloqués par leurs politiques de sécurité. 13 % s’appuient sur le temps écoulé depuis le dernier incident observé. Mais à l’heure où tous les experts s’accordent pour souligner l’importance de la réactivité, seuls 21 % des sondés préfèrent la rapidité de résolution des incidents pour évaluer l’efficacité de leur approche.
L’été dernier, Skyhigh Networks tirait la sonnette d’alarme en assurant que seul un fournisseur Cloud sur cent était effectivement prêt à la nouvelle réglementation européenne.