À en croire les entreprises, elles n'ont jamais été aussi impliquées dans la cybersécurité. Et à juste titre, puisque les cyberattaques n'ont jamais été aussi sophistiquées et dangereuses.
Mais au-delà des beaux discours, les entreprises sont-elles réellement investies sur la question de la cybersécurité ? Si c'est le cas, comment expliquer que seuls 5 % des 100 plus grandes entreprises comptent un expert en cybersécurité parmi leurs dirigeants ? Comment interpréter cette absence de représentation au sein des comités de direction ?
Dans cet article, nous allons nous intéresser au décalage entre ce que les entreprises affirment faire pour la cybersécurité et ce qu'elles font réellement. Nous donnerons ensuite des conseils pratiques pour encourager une culture de la cybersécurité, indépendamment des profils qui occupent les postes de direction.
Pour commencer, posons-nous la question suivante :
La cybersécurité est vitale, mais est-ce que les entreprises s'en soucient vraiment ?
« Nous restons attachés à la protection de la vie privée et à la sécurité de nos clients ». Chaque fois qu'une entreprise annonce un incident de sécurité, on retrouve cette phrase.
Mais si c'est le cas, comment expliquer que les entreprises continuent de se faire attaquer ?
En 2023, 3 122 violations de données majeures ont été signalées rien qu'aux États-Unis, affectant les données d'environ 355 millions de personnes. C’est beaucoup de cyberattaques réussies pour des organisations aussi soucieuses de leur sécurité.
Certes, le fait que des entreprises prétendent faire telle ou telle chose alors qu'elles n'en font rien n'est pas nouveau. Ce qui est différent cette fois, c'est l'ampleur de la menace que représentent le phishing, les violations de données et les autres cyberattaques, et les lourdes conséquences pour les clients et les actionnaires.
Revenons au sujet des violations de données. Chaque année, 83 % des organisations américaines déclarent avoir subi au moins une violation de données, chacune leur coûtant en moyenne 9,44 millions de dollars. Pour les entreprises cotées en bourse, ces incidents représentent une perte moyenne de 7,5 % de la valeur des actions. Sur des marchés où la concurrence est rude, ces conséquences ne sont pas seulement graves mais existentielles.
Il y a quand même des signes encourageants dans la façon dont les dirigeants perçoivent aujourd'hui la cybersécurité. Alors qu’ils considéraient autrefois que le risque de cyberattaques était du ressort des équipes IT, 88 % des conseils d'administration considèrent maintenant que la cybersécurité est un risque économique majeur. Ils sont donc plus enclins à y consacrer le temps et l’attention nécessaires.
Malheureusement, un indicateur de cybersécurité refuse toujours de bouger.
Pourquoi n’y a-t-il pas davantage de responsables sécurité parmi les dirigeants ?
Malgré une prise de conscience sur l'importance de la cybersécurité, la majorité des entreprises ne comptent toujours pas d'experts en sécurité (RSSI ou responsables sécurité) parmi leurs dirigeants. Selon une étude réalisée en 2022, seuls 12 % des RSSI siègent au conseil d'administration de leur entreprise.
Encore plus inquiétant, on estime que 45 % des entreprises n'ont même pas de RSSI du tout. Plus l'entreprise est petite, plus il est probable qu'elle fonctionne sans RSSI. 64 % des TPE fonctionnent sans ces fonctions, 52 % des PME et seulement 10 % des organisations de plus de 5 000 salariés.
Alors que les entreprises se targuent de leur engagement en matière de cybersécurité dans des grandes déclarations publiques, pourquoi il y a si peu d’experts en sécurité à la table des négociations ? Est-ce parce que les dirigeants sous-estiment la sécurité au profit de la finance, des RH ou des opérations ?
C'est possible, mais il y a aussi une histoire de compétences. On estime notamment qu’un RSSI sur dix est prêt à siéger au conseil d'administration. Et comme les comités de direction des 500 plus grandes entreprises américaines ont 11 sièges en moyenne à pourvoir, les places sont chères.
Il est donc urgent de favoriser et d'encourager l'évolution professionnelle des RSSI. Le moment venu, ils seraient alors prêts à siéger au comité de direction et à défendre avec ferveur leur vision de la cybersécurité.
Dirigeants ou non, les RSSI doivent prendre en main la stratégie de cybersécurité
Comme dans toutes les sphères d’une entreprise, on se tourne vers la hiérarchie pour obtenir des conseils en matière de cybersécurité. Et donc vers les RSSI, qu'ils fassent partie ou non du conseil d’administration. Voici trois leviers pour promouvoir un environnement propice à la sensibilisation à la cybersécurité :
1. Défendre sa stratégie de cybersécurité
Les RSSI donnent le ton en matière de sensibilisation et de formation à la cybersécurité. Ils veillent au respect des bonnes pratiques (telles que la conformité NIS2) dans les systèmes et les processus opérationnels. Pour cette raison, ils doivent impérativement prendre le lead pour élaborer des stratégies de cybersécurité. D'autant plus que seulement 40 % des stratégies sont définies par des professionnels de la sécurité.
Alors, prenez les devants et veillez à ce que la direction de l'entreprise défende également votre stratégie de cybersécurité.
2. Démontrer sa capacité à gérer une crise
Malheureusement, beaucoup de gens n'ont pas confiance dans la capacité de leurs dirigeants à faire face aux risques de cybersécurité : seuls 30 % des administrateurs font confiance à leur conseil d'administration pour gérer une crise. Et qui peut leur en vouloir ? Les membres du conseil d'administration et de la direction n’ont pas toujours les compétences ou l'expertise nécessaires pour mener à bien cette tâche. Cela explique en partie la lenteur des entreprises à reconnaître publiquement une violation de données qu’elles viennent de subir.
Les RSSI inspirent plus facilement confiance dans leur capacité à gérer les risques et à mettre en place un plan de réponse en cas d'incident. Les gens peuvent mettre un visage sur le concept de cybersécurité, et les RSSI sont déjà des interlocuteurs privilégiés pour les questions et inquiétudes sur le sujet.
3. Démontrer le ROI d'une culture solide de la cybersécurité
Malgré l'évolution des mentalités, de nombreux dirigeants considèrent encore les mesures de protection comme des postes de dépenses inutiles ou comme une entrave à la productivité. En réalité, cette attitude est l’un des premiers freins au développement d'une vraie culture de la cybersécurité.
Se protéger des cyberattaques est une source de profits, et il revient aux RSSI d’en apporter la preuve. En évitant les lourdes conséquences des violations de données (pertes financières, atteintes à l’image de marque, arrêts d’activité), les responsables sécurité ont de quoi convaincre leur hiérarchie d’allouer un budget suffisant à la cybersécurité.
Ces trois points montrent que les RSSI ont intérêt à prendre le lead sur la cybersécurité de leur entreprise, indépendamment du fait qu'ils siègent ou non au conseil d’administration.
Asseoir son leadership en cybersécurité grâce à des formations de sensibilisation qui plaisent à tous
Malgré l'engagement croissant des dirigeants en faveur de la cybersécurité, de nombreux RSSI n'obtiennent toujours pas la reconnaissance qu'ils méritent. En bâtissant une culture solide de la sécurité IT, ils vont gagner la confiance de leurs équipes et montrer les avantages de s’y atteler sérieusement.
Pour assurer la sécurité des personnes, rien de tel qu’un programme de sensibilisation à la cybersécurité intéressant et ludique. Pour savoir comment Albert peut vous aider, vous et votre équipe, à maîtriser votre empreinte numérique, le spear phishing ou encore les deepfakes, contactez l'un de nos experts dès aujourd'hui.