Si gérer les cybermenaces fait partie du quotidien des entreprises, cette activité n'est pas forcément optimale. Selon une étude réalisée par The Economist Intelligence Unit (EIU)sur la commande du groupe Willis Towers Watson (WTW), seulement 13 % des dirigeants d'entreprises dans le monde estiment que leurs entreprises sont réellement performantes en la matière. En particulier, les leçons des incidents passés seraient insuffisamment tirées. Et ce même si la majorité des répondants estiment que la réponse à une cyber-attaque est suffisamment réactive et efficace.
L'un des points problématiques soulevés par l'étude est l'absence de consensus entre dirigeants et administrateurs sur les réponses à apporter afin de garantir la cyber-résilience. Seul point de consensus : le budget actuel moyen de 1,7 % du chiffre d'affaires consacré au sujet est jugé insuffisant. Ce budget est supérieur en Amérique du Nord (plutôt sur la tranche 2-3%) qu'en Europe ou Asie (plutôt sur la tranche 1-2%). En Europe, les conseils d'administrations préfèrent déléguer le sujet à un groupe dédié tandis que dans le reste du monde, les conseils d'administrations jugent que la cyber-résilience est un sujet pour l'ensemble du conseil.