Si les RSSI (responsables de la sécurité des systèmes d'information) en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques. L’étude de Palo Alto Networks* établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.
Une idée reçue veut que les professionnels de la sécurité informatique en Europe soient sous la coupe de leurs adversaires en matière de cybersécurité. Or l’étude met en évidence une profession plus déterminée et sûre d’elle qu’on ne pourrait le croire.
Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’UE sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.
Par ailleurs, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyberincident, ils avouent, pour 60%, qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9% seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.
Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :
- Perplexité des hauts responsables sur les questions de sécurité. Après une faille de sécurité, 32% des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.
- La sécurité est un sujet de conversation délicat. Si 51% des professionnels de la sécurité informatique ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, 49% ont davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause pour 28%, que la faute est imputable à un fournisseur pour 23% et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir pour 21%.
- Impliquer la direction risque de se retourner contre eux. Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.
- La législation européenne ne fait qu’accroître les tensions managériales en interne. Près de 47% s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si 63% voient d’un bon œil l’impact de cette législation, 56% des participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner. Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci pour 30% des cas, ou au manque de temps du professionnel de l’informatique pour 27%, il est évident que d’immenses défis restent à relever.
« Tensions et méconnaissance sont manifestes, au vu de cette étude. Dans mes échanges avec les acteurs en région EMEA, je consacre énormément de temps à les aider à déterminer dans quelle mesure les professionnels de la sécurité informatique et le reste des équipes dirigeantes peuvent se rapprocher sur des questions de cybersécurité aussi complexes et stratégiques. La technologie peut contribuer à simplifier les processus en jeu, en prévenant les incidents et en automatisant les réponses à apporter. Mais, à l’évidence, un dialogue plus ouvert s’impose au sein même de l’équipe dirigeante afin de mettre en œuvre et perfectionner perpétuellement les stratégies de prévention des cyberattaques », commente Greg Day, vice-président et directeur régional de la sécurité EMEA, Palo Alto Networks
Réussir à parler un même langage
Si nombre de hauts responsables ont des difficultés à appréhender le cyber-risque, ils doivent parvenir à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :
- Dans le cadre d’une stratégie de prévention, associer les dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité afin de mesurer les problématiques et les risques.
- Insister sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, toujours garder à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.
*Palo Alto Networks, spécialiste de la sécurité réseau de nouvelle génération, est à l'avant-garde d’une nouvelle ère de cybersécurité par son rôle moteur dans la sécurisation des applications et la prévention des cyberfailles auprès de dizaines de milliers d’entreprises aux quatre coins du monde.
www.paloaltonetworks.com
Lectures du moment, tribunes d'experts, management et entrepreneuriat...
Comprendre l'économie durable pour s'y investir