Le cabinet de conseil et d'audit PwC vient de publier les résultats de son étude mondiale annuelle sur la cybersécurité, intitulée « Global Digital Trust Insights ». Selon cette enquête, à laquelle plus de 3 500 dirigeants et cadres exécutifs ont répondu, une entreprise sur quatre a déjà connu une violation de données lui coûtant plus d'un million de dollars au cours des trois dernières années, ce coût pouvant grimper jusqu'à 20 millions de dollars. Et les organisations épargnées deviennent rares : 14% seulement indiquent ne pas avoir connu de tels incidents.
Malgré ces chiffres, moins de 40% des répondants estiment avoir réduit leur exposition aux cybermenaces. En cause, des évolutions rapides des modes de travail et de l'environnement des entreprises, comme le travail à distance, l'adoption accélérée du cloud et de l'Internet des objets ou encore la digitalisation des chaînes d'approvisionnement. La cybersécurité de la supply chain ressort en particulier comme une préoccupation majeure, neuf répondants sur dix redoutant que leur organisation n'ait pas la capacité de résister à une cyberattaque perturbant leur chaîne d'approvisionnement. 38% des sondés s'attendent également à voir des attaques plus sérieuses visant le cloud en 2023.
Donner davantage de pouvoir aux RSSI
En face, les équipes de cybersécurité, mobilisées sur tous les fronts, peinent parfois à suivre le rythme. Toutefois, près de 70% des entreprises ont augmenté leur budget de cybersécurité en 2022 et 65% prévoient de dépenser encore davantage en 2023. Ce taux monte même à 70% en France, où 65% des répondants prévoient une augmentation de 5% de leur budget cyber et 9% de plus de 15%. Plus d'une organisation sur deux prévoit également des initiatives majeures pour renforcer sa cyberésilience en 2023 : déploiement de technologies de sécurité (39%), mise à jour de la stratégie et des opérations cyber (37%) et renforcement des compétences en cybersécurité, notamment par le recrutement (36%). Enfin, 46% des PDG interrogés veulent donner davantage de pouvoir aux RSSI, afin que ces derniers travaillent directement avec les comités exécutifs.
Autre enseignement de l'étude, quatre entreprises sur cinq sont favorables à la déclaration obligatoire des incidents de cybersécurité, un aspect jugé clef pour obtenir la confiance de leurs parties prenantes, notamment les investisseurs. Toutefois, dans le même temps 70% des répondants sont réticents à un plus grand partage d'informations avec le public, estimant qu'une transparence accrue peut représenter un risque et nuire à l'entreprise sur le plan concurrentiel.