Les résultats de l'étude « Resilience Gap » de Tanium interrogent sur l'exemplarité des DSI et des RSSI dans le respect des règles de sécurité. Menée par Censuwide, l'étude a interrogé 504 DSI et RSSI des entreprises de plus de 1000 employés au Royaume-Uni, aux Etats-Unis, en Allemagne, en France et au Japon.
Si on se concentre sur la France, le rapport montre que 90% des DSI français avouent avoir fait des compromis avec la sécurité. Au niveau global, 94% des responsables interrogés reconnaissent avoir fauté pour répondre en priorité à des considérations business. L'écart en l'occurrence est de s'être abstenu de faire une mise à jour ou d'installer un correctif de sécurité important. L'impact peut être considérable pour les entreprises au regard des dernières attaques Wannacry et NotPetya. Le vecteur était l'exploitation d'une faille dans un protocole de transport dans Windows et l'installation d'une mise à jour permettait de réduire sensiblement le risque. A noter que dans le rapport, 61% des sondés admettent avoir fauté à plusieurs reprises.
Une pression forte sur les DSI/RSSI
Pour autant la responsabilité des DSI et des RSSI dans ces compromis doit être atténuée par certains facteurs. Un tiers des répondants estime subir des pressions de la part de la direction afin d'assurer la continuité de service. Un autre tiers indique que l'importance accordée à la mise en oeuvre de nouveaux systèmes prime sur la protection des actifs existants. Parmi les autres raisons des incartades, les responsables sont bloqués par les contraintes du legacy (26%) ou les politiques internes à l'entreprise (23%).
L'étude pointe du doigt le manque de compréhension des enjeux relatifs à la cybersécurité du comité exécutif des entreprises. Mais les DSI et RSSI se heurtent à un dialogue de sourd avec les métiers (51%) et constatent (45%) que la priorité au sein de l'entreprise est largement donnée aux activités commerciales, et ce, au détriment des protocoles de sécurité.