Une étude montre que près de la moitié des dirigeants mondiaux ne se sentent pas bien préparés à une cyberattaque. Et cela malgré le fait qu'ils accordent également une grande priorité à la cybersécurité. Si les dirigeants allemands sont les meilleurs pour évaluer les cyber-vulnérabilités, ils doivent travailler sur leur relation avec le CISO.
Proofpoint, Inc., l'une des principales sociétés de cybersécurité et de conformité de nouvelle génération, et Cybersecurity at MIT Sloan (CAMS), un consortium de recherche interdisciplinaire, ont publié leur étude "Cybersecurity: The 2022 Board Perspective". Le rapport capture ce que les chefs d'entreprise perçoivent comme les plus grands défis et risques auxquels leur organisation est confrontée.
La cybersécurité en tête de liste
La question de la cybersécurité est à l'ordre du jour des dirigeants d'entreprise. 77% des participants confirment que la cybersécurité est une priorité absolue dans la gestion de leur entreprise. 76 % discutent du sujet au moins une fois par mois. 75 % des participants estiment avoir une compréhension approfondie des risques systémiques auxquels leurs organisations sont confrontées et 76 % affirment avoir fait des investissements appropriés dans la cybersécurité.
Les cadres ne se sentent pas bien préparés
Dans de nombreux cas, cet optimisme semble inapproprié ou fondé sur des erreurs de jugement. Par exemple, près des deux tiers (65 %) des répondants pensent que leur organisation risque de subir une cyberattaque majeure au cours des 12 prochains mois. Près de la moitié (47 %) pensent que leur organisation n'est pas préparée à une attaque ciblée. Et seuls les deux tiers des cadres supérieurs classent l'erreur humaine comme la vulnérabilité numéro un en matière de cybersécurité, malgré le fait que le Forum économique mondial a constaté que ce facteur est à l'origine de 95 % de tous les incidents de cybersécurité. Dans l'évaluation du risque émanant de l'erreur humaine, les cadres allemands s'en sortent le mieux. 80 % d'entre eux considèrent ce facteur comme leur plus grande cyber-vulnérabilité. Il s'agit de la valeur la plus élevée de tous les pays examinés.
600 cadres interrogés
L'étude Cybersecurity: The 2022 Board Perspective examine les réponses de 600 dirigeants d'organisations de 5.000 2022 employés ou plus dans divers secteurs. En août 50, 12 membres du conseil d'administration ont été interrogés dans chacun des XNUMX pays : États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Australie, Singapour, Japon, Brésil et Mexique.
Le rapport examine trois domaines clés : les cybermenaces et la gestion des risques auxquels la gestion des cybermenaces est confrontée, son niveau de préparation pour contrer ces menaces et son alignement avec les CISO (Chief Information Security Officers) par rapport à leurs évaluations que Proofpoint a analysées dans son Voice of the CISO 2022. rapport. Il existe un écart important entre les deux perspectives lorsqu'il s'agit d'évaluer les cyberrisques, les conséquences et les menaces.
Le paysage des menaces doit être compris
« Il est encourageant de voir que la cybersécurité est enfin au centre des conversations des conseils d'administration. Cependant, notre rapport montre que les dirigeants ont encore un long chemin à parcourir lorsqu'il s'agit de comprendre le paysage des menaces et de préparer leurs organisations aux cyberattaques », a commenté Lucia Milică, vice-présidente et Global Resident CISO chez Proofpoint. "L'une des façons dont la direction peut améliorer sa préparation est de s'engager avec ses RSSI. La relation entre la haute direction et les RSSI est essentielle à la protection des personnes et des données, et les deux parties doivent s'efforcer de communiquer et de collaborer plus efficacement pour assurer le succès de l'entreprise.
L'étude de Proofpoint et CAMS sur la cybersécurité met en lumière les tendances mondiales, ainsi que les différences sectorielles et régionales entre les chefs d'entreprise. Les principaux résultats incluent :
- Il y a un décalage entre la haute direction et les RSSI lors de l'évaluation du risque posé par les cybercriminels
65 % des dirigeants de la suite C pensent que leur organisation risque de subir une cyberattaque majeure au cours des 12 prochains mois, contre 48 % des RSSI. En Allemagne, jusqu'à 70 % des dirigeants pensent que leur entreprise est exposée à un risque de cyberattaque importante au cours des 12 prochains mois, contre 40 % des RSSI allemands. - Malgré une prise de conscience accrue des dangers et des budgets correspondants, les organisations sont insuffisamment préparées
75 % des personnes interrogées dans le monde pensent comprendre les risques systémiques de leur organisation, 76 % pensent avoir investi de manière adéquate dans la cybersécurité, 75 % pensent que leurs données sont correctement protégées et 76 % discutent au moins une fois par mois de la cybersécurité. Pourtant, ces efforts semblent insuffisants, 47 % des personnes interrogées estimant que leur organisation n'est pas préparée à faire face à une cyberattaque au cours des 12 prochains mois. En Allemagne, c'est même 50 %. - Contrairement à leurs homologues du monde entier, l'équipe de direction des organisations allemandes évalue les conséquences les plus graves d'une cyberattaque réussie de la même manière que leurs RSSI.
La divulgation de données internes arrive en tête de liste des préoccupations de gestion pour les organisations du monde entier (37 %), suivie de près par les atteintes à la réputation (34 %) et la perte de revenus (33 %). Ces préoccupations contrastent fortement avec celles des RSSI, qui sont davantage préoccupés par les temps d'arrêt importants, les interruptions d'activité et l'impact sur les valorisations des entreprises. En Allemagne, en revanche, la direction et les CISO sont d'accord : les temps d'arrêt importants figurent en tête de liste des préoccupations pour les deux. - La relation entre les membres du conseil d'administration et les RSSI doit être améliorée
Il existe un énorme fossé entre les points de vue des cadres et des RSSI du monde entier : alors que 69 % des cadres déclarent communiquer avec leur RSSI sur un pied d'égalité, seuls 51 % des RSSI sont d'accord. En Allemagne, cet écart est encore plus prononcé : 89 % des cadres se considèrent comme égaux à leur RSSI (la valeur la plus élevée parmi tous les pays étudiés), mais seuls 48 % des RSSI en Allemagne sont du même avis. - Il existe un large consensus parmi la direction générale et les RSSI sur les différents types de menaces
À l'échelle mondiale, les membres de la direction ont cité la fraude par e-mail/la compromission des e-mails professionnels (BEC) comme leur principale préoccupation (41 %), suivis par la compromission des comptes cloud (37 %) et les ransomwares (32 %). Alors que la fraude par e-mail/BEC et les compromis sur les comptes cloud sont également une préoccupation pour les RSSI, contrairement à C-suite, ils considèrent les initiés comme la plus grande menace. Les dirigeants allemands ont cité la compromission des comptes cloud comme leur principale préoccupation (50 %), suivi du déni de service distribué (DDoS, 44 %) et des ransomwares (40 %). Les RSSI allemands ont également classé ces menaces parmi leurs trois principales préoccupations. - Les managers sont de plus en plus à l'aise avec les exigences des autorités de tutelle
80 % des personnes interrogées dans le monde pensent que les organisations devraient être tenues de signaler une cyberattaque grave aux autorités de réglementation dans un délai raisonnable, et seulement 6 % ne sont pas d'accord. En Allemagne, 78 % ont une opinion positive d'une telle exigence de déclaration, et aucune des personnes interrogées ne s'y est opposée.
« Les dirigeants jouent un rôle clé dans la culture et la posture de cybersécurité de leurs organisations. Ils ont la responsabilité fiduciaire et réglementaire de leurs organisations. Par conséquent, ils doivent comprendre les menaces de cybersécurité auxquelles leurs organisations sont confrontées ainsi que la stratégie que leurs organisations poursuivent pour devenir cyber-résilientes », explique le Dr. Keri Pearlson, directrice exécutive de la cybersécurité au MIT Sloan (CAMS). "Un meilleur alignement des priorités en matière de cybersécurité entre les RSSI et les dirigeants contribuera grandement à améliorer la protection et la résilience de leurs organisations."
Plus sur proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.