Evolution de la maturité Cybersécurité des dirigeants

La sécurité ne se négocie pas !

Pour près de six entreprises sur dix, la sécurité numérique était perçue comme un sujet technique ou un centre de coûts, il y a deux ans.

Aujourd’hui, cette part est ramenée à 31% (22% en 2023) en raison de l’implication des directions générales. Les RSSI portent aussi leurs messages au plus haut niveau :

• Le RSSI peut passer directement des messages en Comex plusieurs fois par an – 75% des organisations françaises.

L’indice CESIN-ENEID

IDC a mesuré l’implication des dirigeants au travers de « l’indice CESIN-ENEID de maturité cyber des dirigeants ».

Cet indice repose sur plus de 60 critères rattachés à 4 axes d’analyse :

• qualité de la relation DG / Responsable cyber
• pilotage de la cybersécurité
• actions de sensibilisation à la cyber
• capacité de réactions aux attaques

Il mesure le niveau actuel des entreprises françaises, avec un score de 47/100 en moyenne pour les 80 entreprises interrogées, et la marge de progression des organisations françaises (pilotage de la cybersécurité ou actions de sensibilisation). « L’analyse des résultats obtenus à l’indice CESIN-ENEID montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », détaille Reynald Fléchaux, Research Manager chez IDC France.

Le risque financier évalué

La bonne prise en compte de la cybersécurité au sein des projets IT est réelle. Ainsi :

• tout projet doit systématiquement se conformer à un cadre de sécurité pour 3 entreprises sur 4
• bonne évaluation du risque financier associé aux cyberattaques par les organisations.

Est-ce que les DG et Comex anticipent les pertes financières découlant d’une attaque ? 75% des DSI et RSSI sont tout à fait ou plutôt confiants dans la pertinence de cette évaluation.

Le manque de préparation de crise 

Mais des progrès restent à accomplir, et notamment :

• Les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées – 54%

Pour Alain Bouillé, le délégué général du CESIN, les entreprises doivent travailler sur deux points, « d’abord, sur une meilleure compréhension de leur cyber-dépendance : de qui l’entreprise dépend elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c’est ce qui fait aujourd’hui la différence et permet d’en limiter les conséquences. »

Source – Etude IDC en partenariat avec le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, et ENEID-Transition, cabinet spécialisé dans le management de transition.
Février et mars 2021 – 80 entreprises du secteur privé comptant au moins 1000 employés dans l’Hexagone. IDC a interrogé des RSSI ou CISO (58% du total) et des DSI, responsables informatiques ou de la production (42%). Huit entretiens avec des directions générales complètent l’enquête.