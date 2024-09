Une étude intitulée ‘Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity’ , qui avait pour objectif de permettre de mieux comprendre les attitudes des RSSI envers la gestion des risques liés à la surface d’attaque (ASRM). Et qui relève en premier lieu un manque de ressources et d’adhésion de la direction pour mesurer et atténuer efficacement les risques liés à leur surface d’attaque :

Seuls 36% des RSSI s'appuient sur des ressources suffisantes pour assurer une couverture cybersécurité 24/7.

35% utilisent des techniques de gestion de la surface d'attaque pour en mesurer le périmètre.

34% utilisent des cadres réglementaires et des standards éprouvés, comme le NIST Cybersecurity Framework.

Des lacunes dans la gestion du risque et de la surface d’attaque au sein des organisations ?

« L’absence de leadership clair en matière de cybersécurité peut avoir un effet paralysant sur toute une organisation et conduire à une prise de décision réactive, fragmentée et erratique, analyse Nurfedin Zejnulahi, Technical Director de Trend Micro France. Il est crucial que les RSSI et les équipes dirigeantes établissent une communication claire et fluide afin que toutes les parties se sentent concernées par les impacts engendrés par les cyberattaques. Pour renforcer leur cyber-résilience, ils devraient idéalement disposer d’une unique source de confiance couvrant la surface d’attaque. Un tableau de bord pour à partir duquel partager des mises à jour avec la Direction, surveiller en continu les risques et remédier automatiquement aux problèmes ».

Les diffcultées rencontrées par la majorité des entreprises mondiales pour mettre en œuvre ces bases en matière de cybersécurité pourrait ainsi s’expliquer par un manque de leadership et de responsabilité au plus haut de l’organisation. Près de la moitié des répondants ont notamment affirmé que leur direction ne considère pas la cybersécurité comme leur responsabilité (48 %). Seuls 17 % des RSSI désapprouvent cette affirmation.

En France, la responsabilité des Dirigeants l’emporte sur celles des équipes IT

Ce manque de ligne directrice claire en matière de stratégie de cybersécurité pourrait enfin expliquer pourquoi plus de la moitié (54 %) des répondants se sont plaints que l’attitude de leur organisation à l’égard du risque cyber était irrégulière et variait d’un mois sur l’autre.

Des indicateurs au niveau mondial qui demandaient également à être confrontés au contexte local de la France. Trend Micro à ainsi identifié un échantillon français constitué de 100 entreprises, de 250 à plus de 5 000 collaborateurs, issues principalement des secteurs IT (20 %), industrie (14 %) et finance (12 %). Et qui révèle une tendance similaire :

Seulement 24% des RSSI interrogés disposent de ressources suffisantes pour assurer une couverture cybersécurité 24/7.

Seul un quart utilise des techniques de gestion de la surface d'attaque pour en mesurer le périmètre.

Un tiers des RSSI s'appuient sur des cadres réglementaires et des standards éprouvés, comme le NIST Cybersecurity Framework.

En France, la responsabilité des Dirigeants l'emporte (31 %) sur celles des équipes IT (25 %) en matière de gestion des risques.

Pour 47 % des RSSI, l'attitude de leur entreprise face au cyber risque reste encore aléatoire.

La quasi-totalité des RSSI (97 %) sont préoccupés par la surface d'attaque de leur entreprise. Plus d'un tiers (33 %) s'inquiètent de la manière de découvrir, d'évaluer et d'atténuer les zones à haut risque.

12 % des RSSI français ne sont pas en mesure de travailler à partir d'une source de confiance.

* Méthodologie : L’étude a été commanditée par Trend Micro auprès de Sapio Research. Dans ce cadre, 2 600 responsables informatiques travaillant au sein de structures de tailles et d’activités différentes réparties dans plusieurs zones géographiques (LATAM, APAC, Amérique du Nord, Europe et Moyen-Orient) ont été interrogés au cours du 1er trimestre 2024.

Ressource : Pour consulter le rapport dans son intégralité.

