Focus sur les entreprises françaises : la réponse au COVID-19 révèle un décalage entre la cyber-sécurité et l'entreprise
Le manque d'alignement dans les stratégies de réponse au COVID-19 illustre comment le décalage chronique qui existe entre les responsables cyber-sécurité et les dirigeants augmente le niveau de risque encouru par l'entreprise.
Alors que les entreprises françaises font face à une nouvelle vague de la pandémie qui oblige les collaborateurs à revenir au télétravail, le manque d'alignement entre les dirigeants et les responsables cyber-sécurité s'avère néfaste. La grande majorité des dirigeants et des responsables sécurité en France (88 %) reconnaissent que leurs stratégies de réponse à la pandémie ne sont au mieux que relativement alignées. Deux tiers ont même signifié être très ou extrêmement préoccupés par le fait que les changements de modes de travail liés au COVID-19 vont encore élever le niveau de risque de leur entreprise.
Les données sont tirées d'une étude portant sur 104 dirigeants et responsables cyber-sécurité en France. L'étude « L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise : focus sur les entreprises françaises » a été réalisée par Forrester Consulting à la demande de Tenable.
Les effets de ce décalage sont évidents : 30 % des personnes interrogées ont déclaré que leur entreprise avait déjà subi au moins une cyber-attaque ayant des répercussions sur l'activité liée au COVID-19 avant le mois de mai 2020.
La pandémie a mis en lumière un manque d'alignement chronique et potentiellement néfaste aux opérations de l'entreprise, même en des périodes plus clémentes. Ainsi, 34 % des dirigeants ont déclaré qu'ils consultent rarement les responsables sécurité lorsqu'ils élaborent les stratégies d'entreprise de leur département. Près de la moitié (42 %) des responsables sécurité français ont affirmé ne pas collaborer avec les intervenants clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins et les priorités de l'entreprise.
Par ailleurs, 90 % des entreprises françaises ont subi au moins une cyber-attaque ayant des répercussions sur l'activité1 au cours des 24 derniers mois et 40 % en ont subi cinq ou plus. Les retombées opérationnelles suivantes sont observées :
- Perte de productivité (38 %)
- Perte de données client (33 %)
- Perte financière ou détournement de fonds (31 %)
Le manque d'alignement entre les responsables sécurité et les dirigeants est exacerbé par les difficultés que rencontrent les professionnels de l'InfoSec pour communiquer le risque dans le langage de l'entreprise. Par ailleurs, un manque de visibilité vient aggraver le problème, en particulier quand il s'agit d'environnements dynamiques et récemment distribués en réponse à la pandémie de COVID-19. L'étude révèle que :
- 40 % des responsables sécurité français ont déclaré avoir une visibilité limitée sur le risque posé par les collaborateurs, qu'ils travaillent sur site ou en télétravail.
- Environ un tiers d'entre eux ont fait état d'un même manque de visibilité sur les appareils IT, OT (technologies opérationnelles) et IoT (Internet des objets).
- Plus de la moitié des personnes interrogées avaient une visibilité limitée sur les appareils mobiles.
Le cyber-risque faisant désormais partie intégrante du risque pour l'entreprise, une communication directe, cohérente et efficace est le seul moyen d'élaborer des stratégies qui font avancer les objectifs organisationnels tout en priorisant la réduction des risques concernant les assets les plus stratégiques pour l'entreprise. L'étude montre que lorsque les dirigeants et les responsables cyber-sécurité s'accordent, les résultats sont probants. En effet, 92 % des responsables sécurité alignés sur les objectifs de l'entreprise sont sûrs ou complètement sûrs de pouvoir rendre compte du niveau de risque de leur entreprise, contre 9 % simplement pour leurs homologues plus cloisonnés. Et, en cette période d'incertitude économique mondiale, il est intéressant de noter que 85 % des responsables sécurité alignés sur les objectifs de l'entreprise possèdent des métriques permettant de suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues plus cloisonnés et réactifs.
Lorsque la stratégie de cyber-sécurité est alignée sur les besoins de l'entreprise, les équipes de sécurité sont bien positionnées pour adopter une approche éclairée et basée sur le risque qui donne la priorité à ce qui compte le plus pour l'entreprise. Celle-ci gagne ainsi en résilience en temps de crise, et en productivité lorsque les circonstances s'améliorent.
En savoir plus
- Découvrez d'autres conclusions de l'étude en français ici
- Téléchargez l'étude en français ici : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise : focus sur les entreprises françaises
- Évaluez votre propre entreprise (outil disponible uniquement en anglais) : Quel est votre degré d'alignement sur les objectifs de l'entreprise ?
1 L'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui entraîne la perte de données sur les clients, sur les collaborateurs ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.
Articles connexes
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Oracle April 2024 Critical Patch Update Addresses 239 CVEs
April 17, 2024Oracle addresses 239 CVEs in its second quarterly update of 2024 with 441 patches, including 38 critical updates.
Strengthening the Nessus Software Supply Chain with SLSA
April 16, 2024You know Tenable as a cybersecurity industry leader whose world-class exposure management products are trusted by our approximately 43,000 customers, including about 60% of the Fortune 500. But sometimes we like to give you a peek behind the curtain to share how we protect our own house against cyberattacks – and that’s what this blog is about. Today we’re sharing our experience adopting the supply-chain security framework SLSA, with the hopes that the lessons we learned will be helpful to you.
Navigating Security Challenges Around OT in the DoD’s Manufacturing Lines
April 15, 2024How operational technology can revolutionize logistics, supply chain management, and overall efficiency.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning