Connexion
/ Inscription
Mon espace

RSSI, Direction générale et cybersécurité : dialogue de sourd ?

BE - Culture & Société
ABONNÉS

Si les RSSI (responsables de la sécurité des systèmes d'information) en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques. L’étude de Palo Alto Networks* établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.

Une idée reçue veut que les professionnels de la sécurité informatique en Europe soient sous la coupe de leurs adversaires en matière de cybersécurité. Or l’étude met en évidence une profession plus déterminée et sûre d’elle qu’on ne pourrait le croire.

Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’UE sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.

Par ailleurs, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyberincident, ils avouent, pour 60%, qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9% seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.

Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :

- Perplexité des hauts responsables sur les questions de sécurité. Après une faille de sécurité, 32% des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.

- La sécurité est un sujet de conversation délicat. Si 51% des professionnels de la sécurité informatique ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, 49% ont davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause pour 28%, que la faute est imputable à un fournisseur pour 23% et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir pour 21%.

- Impliquer la direction risque de se retourner contre eux. Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.

- La législation européenne ne fait qu’accroître les tensions managériales en interne. Près de 47% s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si 63% voient d’un bon œil l’impact de cette législation, 56% des participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner. Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci pour 30% des cas, ou au manque de temps du professionnel de l’informatique pour 27%, il est évident que d’immenses défis restent à relever.

« Tensions et méconnaissance sont manifestes, au vu de cette étude. Dans mes échanges avec les acteurs en région EMEA, je consacre énormément de temps à les aider à déterminer dans quelle mesure les professionnels de la sécurité informatique et le reste des équipes dirigeantes peuvent se rapprocher sur des questions de cybersécurité aussi complexes et stratégiques. La technologie peut contribuer à simplifier les processus en jeu, en prévenant les incidents et en automatisant les réponses à apporter. Mais, à l’évidence, un dialogue plus ouvert s’impose au sein même de l’équipe dirigeante afin de mettre en œuvre et perfectionner perpétuellement les stratégies de prévention des cyberattaques »,  commente Greg Day, vice-président et directeur régional de la sécurité EMEA, Palo Alto Networks


Réussir à parler un même langage 

Si nombre de hauts responsables ont des difficultés à appréhender le cyber-risque, ils doivent parvenir à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :
- Dans le cadre d’une stratégie de prévention, associer les dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité afin de mesurer les problématiques et les risques.
- Insister sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, toujours garder à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.

*Palo Alto Networks, spécialiste de la sécurité réseau de nouvelle génération, est à l'avant-garde d’une nouvelle ère de cybersécurité par son rôle moteur dans la sécurisation des applications et la prévention des cyberfailles auprès de dizaines de milliers d’entreprises aux quatre coins du monde.
www.paloaltonetworks.com

 

Lectures du moment, tribunes d'experts, management et entrepreneuriat...

 Comprendre l'économie durable pour s'y investir

 

Lire la suite...


Articles en relation

BE - Culture & Société
ABONNES
La nouvelle plateforme soClassiQ, un accès gratuit au répertoire de la musique classique et à l’opéra

Avec l'Intelligence Artificielle et la Data Science, soClassiQ met la musique classique à la portée du plus grand nombre et se positionne comme le site de référence en la matière. Après 2 ans de recherche et développement, la plateforme soClassiQ fait son entrée officielle dans le monde de la musique classique et de l'opéra. Grâce à la puissance de ses algorithmes et au travers d'une expérience utilisateur simple et épurée, soClassiQ donne accès :- à l'ensemble des œuvres du répertoire...

BE - Culture & Société
ABONNES
Les soft skills, des compétences déterminantes au cours des premiers mois de collaboration

Une étude* menée par le cabinet international de recrutement spécialisé Robert Half auprès de directeurs généraux (DG) et de directeurs financiers (DAF) révèle que 76% d'entre eux admettent avoir embauché un collaborateur qui ne s'intégrait pas à l'équipe.* Enquête réalisée auprès de 305 DG et 200 DAF en décembre 2017 en France. Les raisons évoquées et les mesures jugées les plus efficaces Rejoindre une organisation implique d'emblée de mettre en avant un panel de compétences à la fois...

ER - Patrimoine et placements
ABONNES
Plongée dans l’univers des investissements des entrepreneurs les plus accomplis

La 5ème édition de l'étude « Entrepreneurs BNP Paribas 2019 » de BNP Paribas Wealth Management publie les investissements privés préférés des investisseurs fortunés - les Entrepreneurs « Elite » - et les tendances qui façonnent leurs choix en matière d'allocation de leur portefeuille. Extrait de l'étude 1/ Les actions sont le premier choix de portefeuille des entrepreneurs Élite : en réagissant avec enthousiasme à la hausse des marchés boursiers, ils ont davantage investi en actions...

BE - Culture & Société
ABONNES
« Solutions solidaires », plateforme de fabrique des solidarités nouvelles

Lancé par le Conseil départemental de la Gironde et ses partenaires, Alternatives économiques, l'Avise, la Fondation Jean-Jaurès, Harmonie mutuelle, Terra Nova, Up et Usbek & Rica, « solutions solidaires » c'est : - Une plateforme pour animer un large débat autour des solidarités nouvelles, et organiser un foisonnement d'idées, expériences et initiatives afin d'inventer ensemble les protections de demain.- Un rendez-vous annuel pour croiser, comparer et projeter vers l'avenir ces idées et ces...