Vers une vision commune : La gestion des cyber-risques par le ComEx

Série de rapports de recherche Ivanti sur l'état de la cybersécurité

Face à la sophistication accrue des cyberattaques qui exposent les entreprises à des risques financiers, opérationnels et de perte de réputation, les CISO sont amenés à endosser un nouveau rôle : auparavant simples joueurs tactiques défensifs, on attend d'eux qu'ils se comportent en meneurs stratégiques.

Télécharger le résumé exécutif

Introduction

Ivanti a interrogé plus de 3 000 dirigeants d'entreprise et professionnels IT et de sécurité dans le monde entier pour découvrir comment les entreprises s'adaptent face à la multiplication des menaces de cybersécurité. Dans ce rapport, nous examinons comment les CISO communiquent avec le Comité Exécutif sur les risques de sécurité. Il s'agit notamment de :

  • Expliquer la gravité du risque encouru par l'entreprise, même si (grâce à une gestion efficace et une part de chance) elle n'a pas encore subi d'attaque majeure.
  • Présenter les concepts complexes de gestion des risques au PDG et au conseil d'administration.
  • Faire évoluer leur rôle : en passant d'un rôle purement technique à un rôle stratégique, le CISO doit agir avec aisance non seulement pour développer et implémenter des stratégies de sécurité mais aussi pour orienter les décisions commerciales stratégiques de l'entreprise.

Pour en savoir plus sur notre étude et notre méthodologie, reportez-vous à la section finale.

Plus de 3 000

Ivanti a interrogé plus de 3 000 professionnels IT et de sécurité
sur la façon dont les dirigeants affrontent les menaces de cybersécurité croissantes.

01

Excès de confiance des dirigeants

Problème actuel

En raison de l'évolution rapide de la technologie, de la sophistication croissante des cyberattaques et de l'expansion des surfaces d'attaque liée aux systèmes et périphériques interconnectés, les cyber-risques deviennent de plus en plus complexes et pressants.

Pourtant, dans certains domaines critiques, les dirigeants (hors IT) se montrent bien trop confiants. Leur niveau de confiance dépasse largement celui des professionnels IT/de sécurité. Parlons-en :

  • 60 % des dirigeants non-IT se disent « très », voire « extrêmement confiants » en la capacité de leur entreprise à prévenir ou bloquer un incident de sécurité dommageable dans les 12 mois à venir.
  • Seulement 46 % des professionnels IT montrent le même niveau de confiance.

Cet écart suggère que les dirigeants non-IT ne comprennent pas vraiment les risques (financier, opérationnel et de réputation) que pose la multiplication des menaces de sécurité.



Pourquoi c'est important

Les incidents de cybersécurité se multiplient. Selon un rapport du Fonds monétaire international intitulé « April 2024 Global Financial Stability Report », un nombre croissant d'entreprises enregistrent des « pertes colossales », et le montant desdites pertes a plus que quadruplé entre 2017 et 2021, pour atteindre 2,5 milliards de dollars.

Quote Icon

Les incidents dans le secteur financier constituent une menace pour la stabilité financière et économique car ils peuvent éroder la confiance dans le système financier, perturber des services essentiels ou impacter négativement d’autres acteurs économiques et financiers.

 

‌ — Rapport du Fonds monétaire international sur la stabilité financière mondiale »

Les études réalisées par Ivanti montrent que, malgré l'augmentation des budgets de cybersécurité (71 % des entreprises indiquent une hausse des budgets en 2024), la stratégie de sécurité et les investissements associés restent insuffisants face à la sévérité et à l'omniprésence des menaces.

95 % des professionnels IT et de sécurité pensent que les menaces de sécurité vont gagner en dangerosité avec l'IA. Pourtant, malgré cet accroissement des risques, près d'un tiers des professionnels de sécurité et IT n'ont mis en place aucune stratégie documentée pour faire face aux dangers de l'IA générative.

Et près de deux tiers des entreprises interrogées n'investissent pas encore dans les domaines critiques comme la gestion de la surface d'attaque externe (EASM) ou les outils numériques d'investigation et de réponse aux incidents (DFIR).



02

Gestion des vulnérabilités

Problème actuel

La majorité (55 %) des professionnels IT/de sécurité estiment que leurs dirigeants (hors IT) n'ont pas une bonne compréhension du concept de gestion des vulnérabilités. Ce que confirment les dirigeants ! En effet, 47 % des dirigeants non-IT admettent qu'ils n'ont pas un très bon niveau de compréhension du concept.

Sachant que le nombre de CVE (Vulnérabilités et expositions courantes) augmente rapidement, il devient essentiel de savoir prioriser ces menaces.



Pourquoi c'est important

La gestion des vulnérabilités est un principe fondamental de toute stratégie de cybersécurité moderne. Le terme important, ici, c'est « gestion ». On ne peut pas s'attendre à ce que l'équipe Sécurité bâtisse une forteresse imprenable. Mais elle doit prioriser les actions et les ressources afin de s'intéresser aux opérations les plus susceptibles de générer des retombées positives.

Les dirigeants d'entreprise qui n'ont pas compris cela risquent d'avoir une mauvaise perception du rôle du CISO et de la valeur de son équipe. Par exemple, les dirigeants non-IT peuvent considérer qu'une cyberattaque ayant atteint sa cible est un échec, alors que la menace aura été rapidement contenue et neutralisée.

De même, les dirigeants extérieurs à l'IT qui ne comprennent pas vraiment le concept de gestion des vulnérabilités peuvent estimer que l'objectif final de la sécurité est d'atteindre 100 % de conformité en matière de correctifs plutôt que de prioriser efficacement les correctifs. Plus de 1/4 des professionnels IT considèrent que la gestion des correctifs est compromise par les changements de priorités des dirigeants.

1/4

des professionnels IT considèrent que la gestion des correctifs
est compromise par les changements de priorités des dirigeants.

03

Divergences

Problème actuel

Les équipes Sécurité et les dirigeants non-IT ont des avis divergents sur l'impact potentiel des cyber-risques, y compris sur l'importance des dommages qu'ils peuvent provoquer et les zones de l'entreprise les plus susceptibles de subir cet impact. Les dirigeants non-IT sont bien plus enclins à se concentrer sur l'impact financier, juridique et de perte de réputation que leurs homologues des équipes IT et Sécurité. Comme si les CISO regardaient les risques par le petit bout de la lorgnette... au risque de passer à côté d'une vue d'ensemble.



Pourquoi c'est important

D'après un rapport récent d'IBM « Cost of a Data Breach Report », le coût moyen d'une fuite de données en 2023 était de 4,45 millions de dollars, soit une augmentation de 15 % sur trois ans. Selon des études réalisées par Chainalysis, l'année 2023 détient le record des versements de rançon suite à un ransomware, avec un total mondial de 1,1 milliard de dollars.

La taille et la sophistication des cybermenaces augmentent tellement vite que ce n'est plus seulement un problème de sécurité : cela peut rapidement se transformer en une véritable crise de durabilité dont les répercussions négatives toucheront aussi bien le cours de l'action que la réglementation.

En même temps, les entreprises se tournent de plus en plus vers leur CISO pour obtenir des conseils stratégiques sur toute une variété de sujets, de l'adoption de l'IA à la gestion des risques liés à la supply chain. Par ailleurs, les conseils d'administration s'intéressent de plus en plus au sujet.

  • Nos recherches montrent que la cybersécurité est un sujet abordé au conseil d'administration. 86 % des personnes interrogées disent que le conseil d'administration discute des cyber-risques, et 84 % précisent que les CISO sont invités à des réunions de haut niveau concernant la prise de décisions stratégiques, la planification organisationnelle, etc.
  • Un rapport de Statista sur l'impact du cybercrime sur les entreprises américaines révèle que dans la plupart des entreprises, le Comité directeur s'inquiète de problèmes tels que la perte de réputation (43 %), les interruptions de service trop importantes (39 %), la perte de clients (38 %) et l'impact sur la valorisation de l'entreprise (38 %).

Malgré cela, de nombreux CISO se concentrent surtout sur les risques d'interruption de service au lieu de prendre en compte la vue globale.

24 % des dirigeants considèrent que l'impact des cyber-risques sur la réputation est « élevé », contre seulement 15 % des CISO.

Pour devenir des acteurs stratégiques, les responsables de sécurité doivent apprendre à parler le même langage que leur PDG et leur conseil d'administration. Pour ce faire, ils doivent traduire le savoir-faire technique en « priorités business », comme l'impact des attaques sur leurs finances et leur réputation, et les conséquences juridiques et réglementaires des fuites de données.



04

Mesures à prendre

Les experts donnent leur avis sur la façon dont l'entreprise peut renforcer le rôle et l'influence du CISO.

Le ComEx doit donner le ton en matière de préparation à la sécurité.

Robert Grazioli

Robert Grazioli
Chief Information Officer chez Ivanti

Face à la recrudescence des incidents graves de sécurité qui font la une des journaux, les CISO n'ont pas beaucoup de difficultés à convaincre le ComEx du danger des cyberattaques pour la réputation de l'entreprise. C'est là que le CISO endosse un nouveau rôle : il doit s'assurer que l'ensemble des dirigeants adhèrent à sa vision et l'adoptent sur le long terme en lui allouant le budget nécessaire. Une fois ce soutien acquis, le CISO peut se mettre au travail pour créer les conditions indispensables à une sécurité efficace : élimination des silos de données, alignement des processus, mise en place de lignes de communication solides, et mise en lien de tous les acteurs de l'entreprise pour révéler les vulnérabilités et y remédier.

Repenser le rôle du CISO... et former la prochaine génération de responsables de sécurité

Dr. Srinivas Mukkamale

Dr Srinivas Mukkamala
Chief Product Officer chez Ivanti

Le rôle du CISO a évolué : il n'est plus seulement un responsable de sécurité tactique, mais un « business partner » stratégique. Dans l'environnement d'entreprise actuel, ces responsables de sécurité doivent relever un défi : trouver l'équilibre entre d'une part les objectifs de gestion des risques et les directives de conformité, et d'autre part l'expérience collaborateur et les objectifs commerciaux... et cela s'avère difficile chaque fois que ces priorités entrent en conflit. Un bon CISO examine l'impact de ses décisions sur l'ensemble de l'entreprise et agit en conséquence.

Soyons réalistes : toutes les entreprises n'ont pas atteint ce niveau de maturité de la cybersécurité, et toutes ne comptent pas parmi leurs collaborateurs un tel leader de talent. En effet, on ne dispose pas encore d'un vivier suffisant de CISO qualifiés, bien formés et polyvalents. Pour former ce type de responsable de sécurité, il faut offrir aux professionnels IT et de cybersécurité davantage de moyens de développer leurs connaissances techniques, leurs compétences en leadership et leur sens des affaires.

Utiliser la « gestion des vulnérabilités » pour socialiser les différentes facettes de la cybersécurité

Sterling Parker

Sterling Parker
Senior Vice President of Global Technical Support chez Ivanti

La gestion des vulnérabilités est un principe fondamental absolu d'une stratégie de cybersécurité moderne, et c'est un excellent outil pédagogique pour expliquer la cybersécurité de manière générale à un public profane. Les CISO doivent maintenant s'adresser à un ComEx hétéroclite et transmettre leur stratégie pour lutter efficacement contre les menaces et les vulnérabilités. Ils doivent être capables de décrire précisément l'impact des menaces actuelles ou potentielles sur l'entreprise et sur les clients. Ils doivent aussi trouver un équilibre entre les besoins liés à la cybersécurité et les exigences du DSI (à savoir, la disponibilité des solutions). La gestion des vulnérabilités implique de faire des choix difficiles, c'est une histoire de compromis. Présenter le concept aux hauts dirigeants est une excellente façon de lancer le débat sur les opportunités et les limitations de la cybersécurité... et sur les décisions stratégiques qui en découlent.

Un autre outil permet d'expliquer aux dirigeants non-IT le modèle de sécurité : la triade désignée par le sigle anglais CIA (pour confidentialité, intégrité et disponibilité).

  • La confidentialité garantit que les informations sensibles sont uniquement accessibles aux personnes autorisées à les consulter.
  • L'intégrité signifie que l'entreprise maintient la précision, la cohérence et la fiabilité des données tout au long de leur cycle de vie.
  • La disponibilité garantit que les données et ressources sont facilement accessibles pour les utilisateurs, au moment où ils en ont besoin.

Pour les CISO qui veulent alerter sur les menaces fondamentales liées à la cybersécurité et promouvoir la stratégie à mettre en mettre pour les contrer, cette triade CIA représente une approche équilibrée et globale de la sécurité. Elle aide les CISO à faire comprendre leur vision de la sécurité, leur posture de réponse aux incidents et leur stratégie d'exécution, et à obtenir soutien et adhésion.

Mesurer l'impact des événements de sécurité sur les autres fonctions de l'entreprise

Sterling Parker

Sterling Parker
Senior Vice President of Global Technical Support chez Ivanti

En fin de compte, le CISO doit avoir un rôle transverse pour permettre à l'entreprise de fonctionner et d'être pérenne. Pour ce faire, le CISO doit collaborer avec les autres fonctions et parties prenantes de l'entreprise pour comprendre l'impact potentiel des événements de sécurité sur chacun des autres départements.

En travaillant avec les principales parties prenantes de l'entreprise, le CISO peut définir et suivre des métriques et des outils capables d'évaluer à l'échelle de l'entreprise l'impact des incidents de sécurité, et tout particulièrement leurs conséquences sur la réputation de l'entreprise, la satisfaction des clients, l'engagement des collaborateurs et la productivité. L'impact pouvant se produire à long terme, il est important de prendre en compte des indicateurs tels que le nombre de plaintes formelles, les poursuites judiciaires, ou la couverture médiatique et l'attrition des clients.

Le but est d'éliminer les angles morts et d'arriver à une prise de décision mûrement réfléchie, à la fois pour l'équipe Sécurité et les instances dirigeantes.

Méthodologie

Ce rapport repose en partie sur deux études menées par Ivanti fin 2023 et début 2024 : Rapport « 2024 Permettre une plus grande flexibilité du travail et « 2024 Rapport sur l'état de la cybersécurité : Point d'inflexion ». Pour ces deux études, nous avons interrogé au total 16 200 dirigeants, professionnels IT, professionnels de sécurité et collaborateurs de bureau. Ce rapport porte spécifiquement sur les 3 059 dirigeants, et professionnels IT et de sécurité interrogés lors de ces deux études.

Merci!

Télécharger le résumé exécutif Télécharger

As of April 1, 2024, all Ivanti operations in your region will be assumed by IVM EME. For sales questions please visit https://www.ivmeme.com

Téléchargez le résumé exécutif

Obtenez les principales conclusions et les résultats de l'enquête, tableaux et graphiques y compris, dans un format de type présentation.