Près de 4 RSSI sur 5 ont déjà subi des pressions de la part de leur conseil d'administration pour minimiser les risques cyber auxquels leur organisation fait face, selon une étude de l'éditeur Trend Micro auprès de 2600 responsables IT ayant des responsabilités en matière de cybersécurité et répartis partout dans le monde. Parmi ceux-ci, 43% expliquent qu'ils sont perçus comme pénibles ou répétitifs par leurs alertes. Et presque autant qu'ils sont vus comme trop négatifs. Autrement dit, le RSSI ou le DSI portant les enjeux de cybersécurité devant le conseil d'administration est souvent vu comme... un casse-pied.
Compréhension imparfaite du risque cyber
Selon 59% des décideurs IT interrogés, le risque cyber est pourtant le risque principal auquel est confronté leur entreprise ou administration. Dans 8 cas sur 10, leur conseil d'administration ne prendra toutefois des décisions d'investissement pour couvrir ce risque que si une faille est détectée et que si elle occasionne des pertes financières. « Les conseils d'administration ont peu de temps à consacrer aux présentations PowerPoint des RSSI, bourrées de jargon et d'indicateurs peu pertinents », cinglent les auteurs de l'étude. « Ils ne sont pas intéressés par les détails de la gestion d'un programme de cybersécurité. Ils veulent des réponses à des questions stratégiques générales telles que 'quel est notre niveau de sécurité ?' et 'comment notre programme de sécurité se compare-t-il à celui de nos pairs ?' ».
Seulement un peu plus d'un RSSI ou DSI sur deux pense que leur direction générale comprend en profondeur les risques cyber auxquels fait face leur entreprise. Un tiers d'entre eux estime d'ailleurs que la cybersécurité est toujours traitée comme un risque informatique et non métier.
Renforcement de la réglementation
Cette incompréhension qui perdure entre les dirigeants et les spécialistes de la cyber pose de sérieuses questions à l'heure où la réglementation se renforce des deux côtés de l'Atlantique. En France, l'entrée en vigueur de la directive européenne NIS2, attendue en octobre prochain au plus tard, va se traduire par une large extension du périmètre des organisations soumises à une réglementation en matière de cybersécurité. En début d'année, 58% des membres du Cesin (Club des experts de la sécurité de l'information et du numérique) se disaient concernés par l'entrée en vigueur de la réglementation européenne.
En complément :
- Cybersécurité : les RSSI doivent muscler leurs capacités à éteindre les incendies
Les RSSI restent des trouble-fête pour les directions générales
Les responsables de la cybersécurité, dont les alertes sont considérées comme trop répétitives et déconnectées de l'activité, subissent fréquemment des pressions pour minimiser les risques.