Les responsables de la sécurité des systèmes d’information (RSSI) informent de plus en plus les conseils d’administration des stratégies de cybersécurité et du profil de risque de leur organisation. Mais une nouvelle enquête auprès de dirigeants suggère qu’il s’agit parfois d’un jeu du téléphone.
En moyenne, 65 % des membres du conseil d’administration de grandes organisations dans 10 pays interrogés pensaient que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois. En comparaison, seulement 48 % des RSSI à qui une question similaire a été posée plus tôt cette année pensaient que leur entreprise risquait de subir une cyberattaque importante.
En moyenne, 69 % des membres du conseil d’administration pensaient être d’accord avec leur RSSI. Cependant, seuls 51 % des RSSI pensaient être d’accord avec leur conseil d’administration.
Les chiffres ont été dévoilés dans une enquête réalisée pour Proofpoint et publiée mardi dernier.
Six cents membres du conseil d’administration d’organisations de plus de 5 000 employés dans 12 pays ont été interrogés. Les résultats ont été comparés aux réponses à l’enquête fournies par les RSSI de 10 pays plus tôt cette année.
Les conseils d’administration semblent être plus confiants quant à la posture de cybersécurité de leur organisation que les RSSI, a déclaré Lucia Milica, RSSI résidente mondiale de Proofpoint, dans une interview.
C’est inquiétant, dit-elle, parce que les conseils d’administration ont une responsabilité de surveillance. « La cybersécurité est un risque d’affaires », a-t-elle souligné, « et quelque chose auquel ils doivent prêter attention. »
Un problème, a-t-elle dit, « pourrait être la capacité du RSSI à traduire un sujet complexe comme le cyber-risque en risque commercial ».
Parmi les autres chiffres inquiétants du rapport, 24 % des membres du conseil d’administration interrogés ont déclaré qu’ils ne parlaient pas régulièrement de cybersécurité. Ce nombre n’est « pas fantastique », a-t-elle déclaré. En comparaison, 21 % des membres du conseil d’administration ont déclaré qu’ils parlaient des problèmes de cybersécurité une fois toutes les deux à trois semaines. Un autre 16 pour cent ont dit qu’il est discuté chaque semaine.
Le décalage entre les conseils d’administration et les RSSI variait selon les pays où 50 membres du conseil d’administration de chaque pays (États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Australie, Singapour, Japon, Brésil et Mexique) ont été interrogés. Certaines des questions étaient les mêmes que celles posées dans le rapport Voice of the CISO de Proofpoint publié en mai.
Par exemple, au Canada, 72 % des membres du conseil d’administration ont convenu que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois. En comparaison, seulement 62 % des RSSI canadiens pensaient que c’était probable.
Aux États-Unis, la divergence était plus nette : 76 % des membres du conseil d’administration pensaient que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois, contre 34 % des RSSI.
Les RSSI canadiens étaient également beaucoup plus optimistes quant à leur communication avec les membres du conseil d’administration; 85 % des RSSI interrogés ont convenu qu’ils étaient d’accord avec leur conseil d’administration. En comparaison, seulement 60 % des administrateurs canadiens étaient d’accord avec cet énoncé.
Seulement la moitié des RSSI américains pensaient être d’accord avec leur conseil d’administration, tandis que 69 % des membres du conseil étaient d’accord.
Il y avait également des différences dans les menaces que chaque groupe considère comme le plus grand risque de cybersécurité pour leurs organisations.
Ces différences d’opinion peuvent refléter les différentes perspectives que chaque rôle apporte à l’organisation, indique le rapport. Les RSSI considèrent principalement que leur rôle consiste à empêcher les attaques de perturber l’entreprise et à permettre à l’entreprise de continuer à fonctionner malgré les cyberattaques. Les membres du conseil d’administration représentent les actionnaires et sont plus soucieux de protéger la valeur de leurs investissements, qui peuvent décliner lorsque l’organisation subit une atteinte à la réputation ou une perte de revenus. Cela pourrait expliquer pourquoi, à l’échelle mondiale, 41 % des membres du conseil d’administration déclarent que la fraude par courriel (également appelée compromission des courriels professionnels) est leur plus grande préoccupation, contre 30 % des RSSI.
Le rapport a été rédigé par le groupe Cybersecurity at MIT Sloan de la Sloan School of Management du Massachusetts Institute of Technology. Il conclut que les résultats de l’enquête montrent qu’il existe « une grande opportunité de discussion » entre les conseils d’administration et les RSSI.
« Plus le conseil d’administration fait de la cybersécurité une priorité », ajoutent les auteurs, « plus les autres dirigeants feront de même. »
Le rapport y va de quelques recommandations aux conseils d’administration :
- Inscrire la cybersécurité à l’ordre du jour de chaque réunion du conseil d’administration
- Avoir un tableau de bord personnalisé pour le conseil d’administration des mesures de cybersécurité pertinentes.
- Participer à des exercices pratiques de cybersécurité en entreprise.
- Rencontrer régulièrement les leaders de la cybersécurité pour tisser des relations plus solides.
Adaptation et traduction française par Renaud Larue-Langlois.
