everythingpossible - Fotolia
La cybersécurité, cette inconnue des dirigeants
Une large majorité de dirigeants ne semble tout simplement ne rien comprendre aux problématiques de cybersécurité. Un luxe rendu notamment possible de l’absence de responsabilité véritablement identifiée en cas d’incident.
« On voir des RSSI perdre leur emploi à l’issue de brèches de sécurité. Lorsque cela devient personnel, on tend plus à agir ». Ces propos sévères, Andrzej Kawalec, directeur technique Enterprise Security Services chez HPE, les tenait récemment à la rédaction. Et il semble clairement n’être pas isolé, dans cet état esprit. Si la question de la sensibilisation a été largement abordée, celle de la responsabilisation à tous les niveaux de l’entreprise, en cas d’incident de sécurité informatique, semble aujourd’hui posée de manière de plus en plus prégnante.
A la suite d’une étude réalisée par Goldsmiths, de l’université de Londres, pour leur compte, Tanium et Nasdaq définissent « l’écart de responsabilité » comme la « dissonance entre le niveau de conscience et de préparation des leaders en entreprise aux défis de la cybersécurité, et ce qu’ils devraient être ». Et pourquoi se pencher sur le sujet ? Parce qu’une « communication ouverte et une responsabilisation à tous les niveaux [de la hiérarchie] est clé pour établir avec succès une culture de la responsabilité, et ces actions peuvent servir de guide pour développer une posture de sécurité holistique qui garantir que les personnes, les processus et la technologie sont positionnés pour le succès ».
Las, l’écart paraît vaste. Pour cette étude, Golsmiths a interrogé 1530 directeurs non-exécutifs, cadres dirigeants, DSI et RSSI aux Etats-Unis, outre-Manche, en Allemagne, au Japon, au Danemark, en Norvège, en Suède et en Finlande. Et d’établir deux vecteurs permettant de définir le niveau de vulnérabilité d’une entreprise : le niveau de prise de conscience, d’une part, et le niveau de préparation pour répondre à la menace, de l’autre.
Alors, sans surprise, 91 % des dirigeants des 10 % des entreprises les plus vulnérables ne savent pas interpréter un rapport de cybersécurité. Mais au total, 43 % de tous les sondés s’avouent dans la même situation ! Outre-Atlantique, ce sont 23 % des dirigeants qui se disent peu ou prou illettrés en matière de cybersécurité, contre 24 % outre-Manche, 31 % en Allemagne, et 44 % au Japon. Et peut-être plus préoccupant encore, les DSI et RSSI qui formulent le même aveu : 22 % aux Etats-Unis ; 14 % au Royaume-Uni, 26 % outre-Rhin ; 23 % au Japon, et 45 % dans les pays nordiques ! Comment, dans ce contexte, les dirigeants peuvent-ils honorer leur responsabilité d’agir dans le meilleur intérêt de l’entreprise ? Pour Kris McConkey, chez PwC, « il va probablement falloir organiser un peu de formation pour les directions, mais surtout apporter une forme de standardisation des types d’indicateurs qui leur sont rapportés ».
Le niveau de conscience des implications potentielles d’une brèche de sécurité n’est guère meilleure. Oscillant autour de 45 % toutes régions confondues pour les directeurs non exécutifs – un point déjà préoccupant en soi pour les auteurs de l’étude –, il n’est pas très glorieux pour les dirigeants : entre 43 % dans les nordiques et 67 % au Royaume-Uni. Mais même les DSI/RSSI semblent encore trop nombreux à ne pas avoir de conscience claire des implications potentielles d’un tel incident : de 22 % aux Etats-Unis, jusqu’à 36 % en Allemagne.
Une autre étude, réalisée par la division Intelligence de The Economist pour VMware, apporte des éclairages complémentaires. Selon celle-ci, la cybersécurité n’arrive qu’en neuvième position des priorités des dirigeants d’entreprises. Ceux-ci se préoccupent principalement de son volet stratégique – risques pour la réputation ou la marque, en particulier –, quand les RSSI ont une approche plus tactique, se concentrant sur des actifs tels que les données clients, les informations réglementées, etc. Mais « les deux ne sont pas synchronisés sur la priorité à accorder aux actifs à protéger ».