De nombreuses attaques récentes de grande envergure témoignent de la vulnérabilité des entreprises face à l'intensification et la sophistication croissantes des cybermenaces, un phénomène qui n'a pas échappé aux conseils d'administration. Il n'y a pas si longtemps, ces derniers considéraient que les problèmes de sécurité relevaient de la responsabilité des RSSI. Ils se sentent désormais davantage concernés.
Un nouveau rapport, intitulé L'approche des conseils d'administration en matière de cybersécurité en 2022 et rédigé par Proofpoint et Cybersecurity at MIT Sloan (CAMS), révèle que la cybersécurité figure désormais en bonne place de l'ordre du jour des conseils d'administration. Pour les besoins de ce rapport, nous avons interrogé 600 membres de conseils d'administration du monde entier. 77 % d'entre eux s'accordent pour dire que la sécurité est l'une de leurs priorités et 76 % abordent ce sujet au moins une fois par mois. Cet intérêt accru a renforcé la confiance des conseils d'administration quant à l'efficacité de leurs efforts : trois quarts estiment que leur conseil d'administration a pris la mesure du risque systémique et 76 % que des investissements adéquats en matière de sécurité ont été réalisés.
Néanmoins, face à l'augmentation rapide du nombre d'incidents de sécurité et de compromissions des données, et sur la base d'autres données de notre rapport, force est de constater que les mesures envisagées ne sont pas suffisantes pour assurer la préparation et la résilience des entreprises. D'après nos observations, près des deux tiers des membres de conseils d'administration interrogés estiment que leur entreprise risque d'être la cible d'une attaque d'envergure au cours des 12 prochains mois, et près de la moitié pensent que leur entreprise n'est pas armée pour faire face à une attaque ciblée.
Après comparaison du ressenti des membres de conseils d'administration et des observations tirées de notre récent rapport Voice of the CISO 2022, nous avons identifié quelques-unes des raisons pour lesquelles cette sensibilisation ne se traduit pas dans les actes. Ainsi, il existe un décalage entre les avis des conseils d'administration et des RSSI non seulement en ce qui concerne les risques et les menaces, mais également sur le plan relationnel.
Par exemple, 65 % des membres de conseils d'administration estiment que leur entreprise risque d'être la cible d'une attaque d'envergure, contre seulement 48 % des RSSI. Que savent les RSSI que les membres du conseil d'administration ignorent ? Les RSSI utilisent-ils un jargon technique qui rend leurs argumentaires incompréhensibles pour les conseils d'administration ?
Ou ce décalage est-il le fruit de rapports tendus ? Selon notre rapport, 69 % des membres de conseil d'administration déclarent ne pas s'entendre avec leurs RSSI, un avis partagé par seulement 51 % des RSSI. S'ils ne sont pas d'accord sur l'état de leurs relations, comment pourraient-ils s'entendre sur des problèmes de sécurité ? Il est difficile d'obtenir le soutien du conseil d'administration pour une stratégie défensive si les priorités des deux camps ne sont pas alignées.
Étant donné que les cybercriminels profitent de notre dépendance croissante vis-à-vis de l'économie numérique, il est plus important que jamais que les conseils d'administration et les RSSI soient sur la même longueur d'onde. En l'absence de relations solides entre le conseil d'administration et le RSSI d'une entreprise, la protection des collaborateurs et la défense des données feront l'objet de luttes incessantes. Pour assurer la pérennité d'une entreprise, il est indispensable que les deux parties travaillent en parfaite harmonie.
Compte tenu des divergences mises au jour, il n'est pas étonnant que seulement deux tiers des membres de conseils d'administration considèrent les erreurs humaines comme la principale cybervulnérabilité. Pourtant, d'après le Forum économique mondial, 95 % des problèmes de cybersécurité sont imputables à une erreur humaine. Les collaborateurs constituent désormais votre première ligne de défense, mais risquent d'exposer votre entreprise aux menaces internes et externes s'ils ne sont pas sensibilisés à ces vulnérabilités et ignorent comment limiter ces risques. Tous les collaborateurs de l'entreprise, y compris les membres du conseil d'administration, doivent être en mesure d'identifier les menaces potentielles et de s'en protéger.
Les membres du conseil d'administration ont un rôle déterminant à jouer pour promouvoir la culture de la sécurité et la résilience de l'entreprise et doivent servir de modèles, non seulement en adoptant des comportements permettant de limiter les risques, mais également en établissant les priorités à tous les niveaux de l'entreprise. Je suis rassurée de constater qu'ils prennent enfin au sérieux leur rôle en matière de cybersécurité. Mais pour que cet enthousiasme se traduise dans les actes, ils doivent pouvoir s'appuyer sur les RSSI en tant que partenaires stratégiques.
Consultez la page https://www.proofpoint.com/fr/resources/white-papers/board-perspective-report pour lire l'intégralité du rapport « L'approche des conseils d'administration en matière de cybersécurité en 2022».