Professionnels de la cybersécurité et cadres-dirigeants s’entendent-ils sur les cybermenaces prioritaires ?

professionnels de la cybersécurité

Les fuites de données coûtent des milliards aux entreprises, érodent la confiance et peuvent avoir un impact négatif à long terme sur l’image de marque d’une entreprise. Avec autant d’enjeux, nous nous demandions : les cadres-dirigeants sont-ils sur la même longueur d’onde que leurs professionnels de la cybersécurité et des technologies de l’information (TI) ?

Nous avons posé des questions à 345 dirigeants et à des professionnels de la cybersécurité aux États-Unis, au Royaume-Uni, en France et en Allemagne.

Perte de données redoutables : Quelles sont pour les dirigeants, les 3 principales préoccupations en matière de cybersécurité ?

Les cadres-dirigeants d’entreprise partagent les mêmes préoccupations que leurs équipes de cybersécurité. Lorsqu’on leur a demandé de nommer les trois principaux problèmes de cybersécurité auxquels leurs organisations sont confrontées, les deux groupes ont cité la perte de données et le vol/exfiltration de données comme étant leurs deux principales préoccupations.

Toutefois, les deux groupes n’étaient pas du même avis lorsqu’ils ont nommé leur troisième préoccupation principale. Les professionnels de la cybersécurité et des technologies de l’information se sont concentrés sur les ransomwares comme WannaCry en 2017, qui a coûté aux organisations environ 4 milliards de dollars en dommages totaux. Les cadres-dirigeants étaient de leur côté plus préoccupés par les risques découlant de l’altération des données – un acte de sabotage modifiant des informations critiques, comme le code d’une chaîne de montage automatisée.

Quels types de données les dirigeants font-ils le plus en sorte de protéger ?

Depuis 2013, 9,7 milliards d’enregistrements de données ont été perdus ou volés, ce qui est presque incroyable. Bon nombre de ces comptes touchés étaient des comptes de consommateurs, qu’il s’agisse d’adresses électroniques, de numéros de téléphone, de renseignements personnels d’identification ou autres. Lorsqu’on leur a demandé quel type de données ils étaient le plus soucieux de protéger, les cadres-dirigeants et les professionnels de la cybersécurité ont donné la priorité aux données des clients ou des patients et à la propriété intellectuelle. Cependant, les cadres-dirigeants ont désigné la protection des données des employés par rapport aux données financières comme leur troisième plus grande préoccupation en matière de données.

Incidence des atteintes à la protection des données sur les entreprises

Lorsqu’on leur a demandé quelles questions commerciales étaient touchées par la cybersécurité, les deux groupes ont cité les trois mêmes préoccupations principales, mais dans un ordre différent. Les professionnels de la cybersécurité/TI ont mis l’accent sur la perception de la marque comme étant leur principal enjeu commercial, tandis que les cadres-dirigeants ont axé leur priorité sur l’aspect financier, et notamment les coûts associés à la violation (recouvrement, amendes réglementaires, etc.).

Notation des experts en sécurité

Les gens de la cybersécurité sont confiants : 96 % sont d’accord avec l’énoncé ” La planification et l’approche de mon organisation en matière de TI/sécurité sont alignées sur les risques et les objectifs de l’organisation “. Le groupe de cadres-dirigeants, cependant, n’a pas été aussi généreux dans l’attribution de notes élevées : seulement 73 % étaient d’accord. Les résultats suggèrent qu’il y a encore du travail (d’équipe) à faire pour s’assurer que les deux groupes sont unis dans la même bataille.

Prendre le bon virage de la cybersécurité

Les cadres-dirigeants étaient moins susceptibles d’être d’accord pour dire que leur organisation fait des progrès dans l’amélioration de sa position en matière de cybersécurité : 69 % étaient d’accord avec l’énoncé ” Mon organisation fait des progrès mesurables en matière de cybersécurité “. Les professionnels de la cybersécurité se sont montrés beaucoup plus optimistes, 91 % d’entre eux étant d’accord avec cet énoncé. Étant donné que des atteintes à la vie privée très médiatisées frappent certaines des plus grandes entreprises du monde, les dirigeants sont plus sujets à une impression de faire du “sur-place”.

Les professionnels de la cybersécurité doivent parler plus fort

La grande majorité – 94 % des experts en cybersécurité et en TI – croient que l’équipe de direction de leur entreprise tient compte de leurs conseils lorsqu’il s’agit de menaces à la sécurité. Pas si vite, disent les cadres : Seuls 76 % d’entre eux déclarent qu’ils s’appuient sur les avis et les conseils de leur personnel informatique et de sécurité en ce qui concerne les menaces à la cybersécurité. Leurs réponses suggèrent que les équipes de sécurité et les professionnels de la TI pourraient bénéficier de plus de temps en commun avec leurs cadres-dirigeants, sinon d’une place à la table de direction.

Quantification de l’investissement dans la cybersécurité

Selon Cybersecurity Ventures, les dépenses en produits et services dépasseront mille milliards de dollars au cours des cinq prochaines années. Nous avons demandé aux cadres-dirigeants et aux professionnels de la sécurité s’ils pouvaient quantifier l’incidence des mesures de cybersécurité sur leur entreprise. Seulement 68 % des membres du groupe de cadres-dirigeants étaient confiants sur la possibilité de quantifier les investissements de leur entreprise, tandis que 88 % des membres du groupe cybersécurité/TI l’étaient, ce qui donne à penser que les dirigeants ont besoin de plus d’informations sur la façon dont leurs investissements et leurs efforts en cybersécurité ont un impact quantifiable sur les résultats de leur entreprise.

professionnels de la cybersécurité

Les atteintes à la protection des données et les failles de sécurité font toujours faire les cent pas aux cadres-dirigeants dans leurs bureaux. Si l’on tient compte d’une nouvelle série de règlements sur la protection des données personnelles, du GDPR à la California Consumer Privacy Act, les dirigeants s’inquiètent de savoir si la prochaine violation majeure ou la prochaine poursuite en justice touchera leur entreprise – et les renverra peut-être faire leurs bagages. Les professionnels de la cybersécurité et de l’informatique ont là l’occasion de mieux se faire entendre et de faire valoir leur expérience.