MATURITE DES DIRIGEANTS

En partenariat avec le CESIN et ENEID-Transition, IDC France publie une étude mettant en évidence l’évolution des mentalités en matière de cybersécurité. Hier vu comme un sujet technique, la problématique est de mieux en mieux intégrée par les directions générales.

Paris, le 25 octobre 2021 – Menée auprès de 80 décideurs cyber en France, et complétée par des entretiens approfondis avec des directions générales, une nouvelle étude d’IDC France, réalisée en partenariat avec le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et ENEID-Transition (cabinet spécialisé dans le management de transition), témoigne de l’évolution rapide des mentalités en matière de cybersécurité. Il y a seulement deux ans, près de six entreprises sur dix considéraient la sécurité numérique comme une direction technique ou un centre de coûts. Une part ramenée à 31% aujourd’hui et qui tombera à 22% dans deux ans. Ce changement de pied doit beaucoup à l’implication des directions générales sur le sujet, et à la capacité offerte aux responsables de la cybersécurité de porter leurs messages au plus haut niveau de l’organisation. Dans 75% des organisations françaises, le RSSI a l’opportunité de passer directement des messages en Comex plusieurs fois par an.

C’est cette implication des directions générales qu’IDC a mesuré au travers de l’indice CESIN-ENEID de maturité cyber des dirigeants. Reposant sur plus de 60 critères rattachés à quatre axes d’analyse (qualité de la relation DG / Responsable cyber, pilotage de la cybersécurité, actions de sensibilisation à la cyber et capacité de réactions aux attaques), cet indice permet de mesurer le niveau actuel des entreprises françaises, avec un score de 47/100 en moyenne pour les 80 entreprises interrogées. Mais aussi la marge de progression des organisations françaises, en particulier en matière de pilotage de la cybersécurité ou d’actions de sensibilisation.

« L’analyse des résultats obtenus à l’indice CESIN-ENEID montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », détaille Reynald Fléchaux, Research Manager chez IDC France.

« Je ne suis pas étonné de la mobilisation des directions générales dont témoigne l’étude. Mais on peut relever que beaucoup d’initiatives en matière de sécurisation ont été réalisées de façon empirique et mériteraient d’être réexaminées, car elles mobilisent déjà beaucoup de ressources. Pour ne rien arranger, la cyber concerne de plus en plus directement les produits ou services commercialisés par l’entreprise. Le périmètre à défendre s’étend de façon exponentielle et il sera très vite impossible de tout protéger contre tout type de menaces », prévient Patrick Chenebaux, co-fondateur d’ENEID-Transition.

Préparation de crise : un axe de progrès

L’influence grandissante des directions de la cybersécurité se traduit notamment par une bonne prise en compte de la cybersécurité au sein des projets IT. Dans environ 3 organisations sur 4, tout projet doit systématiquement se conformer à un cadre de sécurité. Qu’il s’agisse de projets classiques ou de projets digitaux, alors que ces derniers avaient parfois tendance, ces dernières années, à s’affranchir des bonnes pratiques impulsées par la DSI. De même, le risque financier associé aux cyberattaques est désormais plutôt bien évalué par les organisations. Interrogés sur la faculté de leur DG et de leur Comex à bien anticiper les pertes financières qui découleraient d’une attaque réussie sur les systèmes d’information, 75% des DSI et RSSI se disent tout à fait ou plutôt confiants dans la pertinence de cette évaluation.

Toutefois, l’étude met aussi en évidence les progrès qui restent à accomplir. Notamment en matière de préparation de crise. Dans 54% des entreprises interrogées, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées. Pour Alain Bouillé, le délégué général du CESIN, face à la montée en puissance des menaces à laquelle nous assistons, les entreprises doivent travailler sur deux autres points essentiels : « D’abord, sur une meilleure compréhension de leur cyber-dépendance : de qui l’entreprise dépend elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c’est ce qui fait aujourd’hui la différence et permet d’en limiter les conséquences. »

Méthodologie

Cette étude a été réalisée en France par IDC en février et mars 2021 auprès de 80 entreprises du secteur privé comptant au moins 1000 employés dans l’Hexagone. Au sein de ces organisations, IDC a interrogé des RSSI ou CISO (58% du total) ainsi que des DSI, responsables informatiques ou de la production (42%). Huit entretiens approfondis avec des directions générales sont venus compléter l’enquête.

Plus d’un tiers des travailleurs à distance ignore ou contourne les règles de cybersécurité de leur organisation

D’après l’étude Tenable, seuls 16 % des travailleurs français à distance appliquent strictement les politiques de sécurité de leur entreprise. 

Tenable, le spécialiste de la gestion du cyber risque, présente de nouveaux résultats de son étude « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail » qui mettent en évidence les risques introduits par les employés français lorsqu’ils travaillent à distance. Lorsque Forrester Consulting, qui a réalisé l’étude, leur a demandé s’ils étaient convaincus que les employés prenaient les mesures adéquates pour protéger les données de l’entreprise, 39 % des responsables de la sécurité et des dirigeants d’entreprise ont répondu qu’ils étaient très ou complètement convaincus. Cependant, 34 % des employées assurent ignorer ou contourner ces mêmes mesures prises par l’entreprise.  

Les entretiens réalisés avec les employés à distance ont montré une image différente de ce à quoi s’attendaient les dirigeants et les responsables IT. Lorsqu’on leur a demandé ce qui était important pour eux, 82 % des employés français travaillant à distance ont répondu que la protection des données des clients était assez ou très importante. Cependant, 64 % d’entre eux ont déclaré utiliser un appareil personnel pour accéder à ces informations. La situation est similaire en ce qui concerne la protection de la propriété intellectuelle de l’entreprise : 66 % des employés distants ont déclaré qu’elle était importante, tandis que 30 % utilisent un appareil personnel pour y accéder. En fait, seuls 61 % des employés à distance déclarent suivre systématiquement les mesures de protection des données, de la propriété intellectuelle et des systèmes de leur entreprise lorsqu’ils travaillent à domicile.

En creusant un peu plus, Tenable s’est aperçu que seuls 18 % des employés à distance respectaient strictement les mandats de leur entreprise en matière de restriction d’accès aux données et aux systèmes via des appareils personnels. Cette situation est préoccupante si l’on considère que seulement 32 % des responsables de la sécurité estiment avoir une visibilité élevée ou complète sur les appareils appartenant aux employés.

Le plus inquiétant est peut-être que 34 % des employés ont déclaré qu’ils ignoreraient ou contourneraient les politiques de cybersécurité de leur organisation, tandis que 36 % ont déclaré que l’un des défis auxquels ils étaient confrontés était le manque de clarté des politiques et pratiques de sécurité de leur organisation.

« Les employés veulent avoir la possibilité de travailler de n’importe où. Le défi est de savoir comment ils peuvent le faire en toute sécurité », explique David Cummins, vice-président de la région EMEA chez Tenable. « Cette étude confirme ce que nous soupçonnons déjà : les employés distants se connectent à des informations sensibles de l’entreprise à partir d’appareils personnels sur des réseaux domestiques non sécurisés. Les équipes de sécurité doivent accepter cette réalité et changer leur perception du risque. Elles ont besoin d’une visibilité sur l’ensemble du paysage des menaces et disposer de l’intelligence nécessaire pour prévoir les cybermenaces qui auront le plus grand impact sur l’entreprise. En tandem, elles doivent également mettre en œuvre des profils de risque adaptatifs pour les utilisateurs afin de surveiller et de vérifier en permanence chaque tentative d’accès aux données de l’entreprise, avec la possibilité de refuser les demandes qui ne répondent pas aux règles établies. »

Forrester Consulting a mené une étude en ligne auprès de 48 responsables sécurité, 61 dirigeants et 44 télétravailleurs (employés à temps plein qui travaillent au moins trois jours à domicile) en France. Ce sont des sous-ensembles d’une étude plus large avec 426 responsables sécurité, 422 dirigeants et 479 télétravailleurs ainsi que six entretiens téléphoniques avec des responsables business et sécurité visant à examiner les changements effectués dans les stratégies de cybersécurité des grandes entreprises en réponse à la pandémie. L’étude a eu lieu en Australie, au Brésil, en France, en Allemagne, en Inde, au Japon, au Mexique, en Arabie Saoudite, au Royaume-Uni et aux États-Unis en avril 2021.

À propos de Tenable

Tenable®, Inc. est la société de Cyber Exposure. Plus de 30 000 entreprises dans le monde comptent sur Tenable pour comprendre et réduire leur cyber-risque. Après avoir créé Nessus®, Tenable a enrichi son expertise en matière de vulnérabilités pour proposer la première plateforme au monde capable de voir et de sécuriser tous les assets digitaux, quelle que soit la plateforme informatique. La clientèle de Tenable comprend plus de 50 % des sociétés du Fortune 500, plus de 30 % des sociétés du Global 2000, ainsi que de grandes administrations publiques. Pour en savoir plus, rendez-vous sur fr.tenable.com.