Les relations entre les équipes IT et de sécurité et les comités de direction conditionnent fortement l'efficacité et la pertinence des stratégies de cyberdéfense mises en oeuvre. C'est le principal constat qui ressort d'une étude publiée par l'éditeur Trend Micro, pour laquelle plus de 5300 responsables informatiques et commerciaux ont été interrogés par Sapio Research dans 26 pays.

Dans cette enquête, plus de 90% des décideurs IT interrogés se disent particulièrement préoccupés par les attaques de rançongiciels. Pourtant, 90% d'entre eux estiment que leur entreprise est prête à faire des compromis sur la cybersécurité au profit de la transformation digitale, de la productivité ou d'autres objectifs métiers. Plus de huit sur dix (82%) ont d'ailleurs ressenti une pression pour minimiser la sévérité des risques cyber auprès du comité de direction. Dans ce contexte, il n'est pas étonnant de voir que seul un responsable IT sur deux et 38% des décideurs métiers pensent que leur équipe dirigeante comprend parfaitement les cyber risques. Pour 26% des leaders IT, ce manque de compréhension des dirigeants s'explique par un effort insuffisant, et pour 20% il s'agit simplement d'un refus de comprendre. Enfin, moins de six sur dix (57%) indiquent échanger au moins une fois par semaine avec leur direction sur les risques cyber, alors même que les menaces évoluent constamment.

Payer plutôt que comprendre les réels défis

Conséquence, près de la moitié (49%) des répondants constatent que les cyber risques sont toujours traités comme un problème IT plutôt que comme un risque métier. Pour 62%, le seul cas où le comité de direction se saisirait réellement du sujet est la survenue d'une cyberattaque, mais pour 61%, une demande émanant des clients de l'entreprise serait aussi un bon levier. Si à l'échelle mondiale les dépenses en cybersécurité augmentent, les investissements s'orientent différemment selon les entreprises : ainsi, 42% dépensent essentiellement pour atténuer les risques de cyberattaques et maîtriser ainsi les conséquences sur l'activité commerciale, tandis que 36% investissent pour accompagner la transformation numérique. Enfin, 27% seulement financent l'évolution de leurs salariés. Selon Trend Micro, ces résultats suggèrent une certaine tendance à occulter le problème et à payer plutôt que de chercher à comprendre les défis de cybersécurité. De ce fait, moins de la moitié (46%) des répondants considèrent que le cyber risque et la gestion de cette menace sont parfaitement intégrés au sein de leur organisation.

Pour renforcer les stratégies de cyberdéfense et bâtir une vraie culture de « security by design » dans leur entreprise, 77% des décideurs IT interrogés souhaitent partager la responsabilité de la gestion des cyber risques avec d'autres membres dirigeants. Ainsi, 38% sont favorables à la responsabilisation des PDG, 28% à celle des directeurs financiers et 22% à celle des directeurs marketing.