RSM, 7ème réseau mondial de conseil et audit, en partenariat avec les European Business Awards, publie les résultats d’une enquête sur les impacts de la transformation numérique sur la cybersécurité des grandes entreprises européennes.
1 grande entreprise sur 5 n’a pas de politique stratégique en matière de cybersécurité
80% des grandes entreprises européennes considèrent la transformation numérique comme une priorité stratégique et 29% ont vu leur CA augmenter grâce à la celle-ci. C’est pourquoi elles investissent massivement dans ce domaine, aussi bien dans le cloud (73%) que dans l’automatisation (58%), l’Internet des Objets (58%), l’intelligence artificielle (22%) ou encore le machine learning (20%).
Or, 21% des grandes entreprises européennes n'ont pas de politique stratégique en matière de cybersécurité, ce qui signifie qu'1 entreprise européenne sur 5 ne dispose d'aucun moyen coordonné pour lutter contre la cybercriminalité. Si le RGPD, entré en vigueur en mai 2018, est considéré par les grandes organisations européennes comme le principal facteur les incitant à réfléchir et mettre en place des programmes de cybersécurité - 62% des entreprises considèrent que la mise en conformité avec le RGPD a généré des investissements supplémentaires en matière de cybersécurité -, seules 51% des entreprises considèrent que le RGPD les ont rendues plus capable de résister à une cyberattaque. Pour autant, plus de 7 entreprises sur 10 estiment être exposées à un risque en matière de cybercriminalité.
Quant aux entreprises qui ont inclus la problématique de la cybersécurité à leur programme d’actions stratégiques, elles manquent de confiance dans leurs capacités à se protéger efficacement, étant convaincues que les pirates informatiques se montreront toujours plus efficaces que les logiciels préventifs : 29% pensent, en effet, que les actions préventives mises en place ne leur permettrons pas d’empêcher efficacement de futures cyberattaques.
« Même si les entreprises ne peuvent se prémunir à 100% contre les risques de cyberattaques, ne rien faire n'est pas une option. La première étape pour se prémunir consiste à comprendre qu'investir dans des outils et une technologie de sécurité ne permettra pas nécessairement d'éviter une attaque. Ensuite, la mise en place de programmes de formation et de sensibilisation des collaborateurs est une condition nécessaire pour permettre à l’entreprise de surveiller et de détecter les attaques pouvant peser sur sa réputation ou ses finances », commente Jean-Philippe Isemann, associé RSM et responsable du département IT & Risk advisory.
65% des personnes interrogées sont convaincues que la cybersécurité est un sujet qui doit être pris en mains au niveau de la direction
Même si les entreprises sont convaincues la cybersécurité est un enjeu de direction, celle-ci n’est abordée en conseil d’administration que dans 54% des cas.
Le sujet ne devient une priorité pour elles qu’après une cyberattaque (59% des cas), soit bien trop tard.
Par ailleurs, 20% des grandes entreprises pensent encore que c'est le responsable informatique qui doit assumer la responsabilité globale de la cybersécurité.
« La gestion des cyberrisques doit être appréhendée par le conseil d'administration et c'est encourageant de voir que 60% des administrateurs conviennent qu’il faudrait inclure plus souvent le sujet à leur ordre du jour. Si nous avons observé une évolution positive ces dernières années, le fait que seulement 38% des administrateurs considèrent le PDG comme la personne responsable en dernier ressort de la cybersécurité au sein de l’organisation est préoccupant. Il est important de rappeler que lorsqu'une atteinte à la protection des données ou une cyberattaque surviennent, c'est le PDG qui est responsable », ajoute Antoine Baranger, manager RSM - IT & Risk advisory.
Au-delà de la responsabilité du dirigeant, 64% des entreprises consultées considèrent comme prioritaire le fait de s’assurer que les collaborateurs soient correctement formés pour prévenir les erreurs humaines. En effet, 44% des attaques ciblent des employés par mail via des attaques de phishing, fraude au président et de ransomware.
Or, encore une fois, on constate que les grandes entreprises n’ont pas mis en place les actions nécessaires : 22% ne proposent pas de formation aux problèmes de cybersécurité à leurs équipes.