S'ils sont - heureusement - bien cernés par les équipes sécurité et en particulier les RSSI, les enjeux de cybersécurité sont loin d'être suffisamment pris en compte par les directions métiers. C'est l'un des constats qui ressort de la dernière étude du cabinet Deloitte « Enjeux cyber 2019 » pour laquelle 854 entreprises françaises ont été interrogées. Alors que 76% d'entre elles se sentent prêtes pour faire face à un incident de cybersécurité (piratage, phishing, ransomware...), elles sont 82% à déclarer ne pas avoir documenté ou testé un plan de cyberattaque avec leurs directions métiers depuis 1 an.
« La question qui se pose, c'est celle de l'intégration des métiers dans la stratégie globale de cybersécurité des entreprises », a fait savoir Michael Bittan, associé de l'entité cyber risk services de Deloitte et co-auteur de l'étude, à l'occasion d'un point presse de présentation jeudi 21 février 2019 à Paris. Sur le terrain, peu d'entreprises sont cependant loin de reprendre à leur compte cette recommandation. 82% des décideurs interrogés par Deloitte pensent que les métiers ne sont pas suffisamment impliqués et conscients des risques cybersécurité. « La cyber doit être un enabler business, un avantage concurrentiel », martèle Michael Bittan.
71% de taux de clic sur un mail de faux phishing dans une banque
Pour cela, encore faut-il que les enjeux cyber remontent comme il se doit aux oreilles de la direction générale, ce qui n'apparaît pas vraiment le cas. Alors que 25% des entreprises remontent la cyber directement au niveau de leur comité exécutif, les RSSI sont encore loin d'être systématiquement représentés au plus haut niveau décisionnaire de l'organisation. « Le RSSI sera plutôt présent dans un comex élargi. Là où c'est complexe, c'est que le RSSI est vu par beaucoup comme un expert technique sur une thématique sans capacités de communication, de vulgarisation et de présentation, mais c'est faux ! », poursuit Michael Bittan.
Or ces compétences s'avèrent indispensables pour diffuser les bonnes pratiques de sécurité dans toutes les strates de l'entreprise, et il y a encore beaucoup de travail pour sensibiliser tous les collaborateurs. « Dans une banque française avec filiales à l'étranger, tous métiers confondus, 71% des collaborateurs ont cliqué sur un faux mail de phishing », alerte Michael Bittan. Un chiffre particulièrement élevé qui s'explique aussi par la sophistication de ce faux mail doté de tous les ingrédients nécessaires (multi-langues, expéditeur crédible...) pour être presque parfait et pousser les employés à cliquer.
Un manque de compétences pour assurer la sécurité des SI industriels
Parmi les autres enseignements de l'étude, Deloitte souligne que 75% des entreprises estiment ne pas disposer des compétences et des ressources nécessaires pour assurer la sécurité des systèmes de contrôle industriels. « Ces systèmes ne peuvent pas être sécurisés si on ne change pas de technologie. Sur les nouveaux produits, on intègre la sécurité dès la conception et la plupart des start-ups avec lesquels les entreprises travaillent sur ce sujet l'ont également intégré », précise Fouzi Akermi, senior manager au sein de l'entité cyber risk services de Deloitte France. Autre indicateur révélé par l'étude : l'intégration de l'IA dans la stratégie de cybersécurité des entreprises ne va pas sans poser quelques interrogations. En effet, 51% des entreprises interrogées sont préoccupées par les vulnérabilités de sécurité liées à l'usage de l'IA, juste devant la prise de mauvaises décisions suggérées par l'IA (43%) voire sa défaillance dans un contexte critique (39%).