Menée auprès de 80 décideurs cyber en France, et complétée par des entretiens approfondis avec des directions générales, une nouvelle étude d’IDC France, réalisée en partenariat avec le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et ENEID-Transition (cabinet spécialisé dans le management de transition), témoigne de l’évolution rapide des mentalités en matière de cybersécurité. Il y a seulement deux ans, près de six entreprises sur dix considéraient la sécurité numérique comme une direction technique ou un centre de coûts. Une part ramenée à 31% aujourd’hui et qui tombera à 22% dans deux ans. Ce changement de pied doit beaucoup à l’implication des directions générales sur le sujet, et à la capacité offerte aux responsables de la cybersécurité de porter leurs messages au plus haut niveau de l’organisation. Dans 75% des organisations françaises, le RSSI a l’opportunité de passer directement des messages en Comex plusieurs fois par an.
C’est cette implication des directions générales qu’IDC a mesuré au travers de l’indice CESIN-ENEID de maturité cyber des dirigeants. Reposant sur plus de 60 critères rattachés à quatre axes d’analyse (qualité de la relation DG / Responsable cyber, pilotage de la cybersécurité, actions de sensibilisation à la cyber et capacité de réactions aux attaques), cet indice permet de mesurer le niveau actuel des entreprises françaises, avec un score de 47/100 en moyenne pour les 80 entreprises interrogées. Mais aussi la marge de progression des organisations françaises, en particulier en matière de pilotage de la cybersécurité ou d’actions de sensibilisation.
« L’analyse des résultats obtenus à l’indice CESIN-ENEID montre que deux facteurs jouent un rôle essentiel dans la maturité cyber des directions générales : la présence au Comex de la direction de rattachement du RSSI et la prise en compte des risques cyber de façon proactive », détaille Reynald Fléchaux, Research Manager chez IDC France.
« Je ne suis pas étonné de la mobilisation des directions générales dont témoigne l’étude. Mais on peut relever que beaucoup d’initiatives en matière de sécurisation ont été réalisées de façon empirique et mériteraient d’être réexaminées, car elles mobilisent déjà beaucoup de ressources. Pour ne rien arranger, la cyber concerne de plus en plus directement les produits ou services commercialisés par l’entreprise. Le périmètre à défendre s’étend de façon exponentielle et il sera très vite impossible de tout protéger contre tout type de menaces », prévient Patrick Chenebaux, co-fondateur d’ENEID-Transition.
L’influence grandissante des directions de la cybersécurité se traduit notamment par une bonne prise en compte de la cybersécurité au sein des projets IT. Dans environ 3 organisations sur 4, tout projet doit systématiquement se conformer à un cadre de sécurité. Qu’il s’agisse de projets classiques ou de projets digitaux, alors que ces derniers avaient parfois tendance, ces dernières années, à s’affranchir des bonnes pratiques impulsées par la DSI. De même, le risque financier associé aux cyberattaques est désormais plutôt bien évalué par les organisations. Interrogés sur la faculté de leur DG et de leur Comex à bien anticiper les pertes financières qui découleraient d’une attaque réussie sur les systèmes d’information, 75% des DSI et RSSI se disent tout à fait ou plutôt confiants dans la pertinence de cette évaluation.
Toutefois, l’étude met aussi en évidence les progrès qui restent à accomplir. Notamment en matière de préparation de crise. Dans 54% des entreprises interrogées, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées. Pour Alain Bouillé, le délégué général du CESIN, face à la montée en puissance des menaces à laquelle nous assistons, les entreprises doivent travailler sur deux autres points essentiels : « D’abord, sur une meilleure compréhension de leur cyber-dépendance : de qui l’entreprise dépend elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c’est ce qui fait aujourd’hui la différence et permet d’en limiter les conséquences. »
Cette étude a été réalisée en France par IDC en février et mars 2021 auprès de 80 entreprises du secteur privé comptant au moins 1000 employés dans l’Hexagone. Au sein de ces organisations, IDC a interrogé des RSSI ou CISO (58% du total) ainsi que des DSI, responsables informatiques ou de la production (42%). Huit entretiens approfondis avec des directions générales sont venus compléter l’enquête.