Décalage entre les conseils d’administration et les RSSI sur la cybersécurité

Les responsables de la sécurité des systèmes d’information (RSSI) informent de plus en plus les conseils d’administration des stratégies de cybersécurité et du profil de risque de leur organisation. Mais une nouvelle enquête auprès de dirigeants suggère qu’il s’agit parfois d’un jeu du téléphone.

En moyenne, 65 % des membres du conseil d’administration de grandes organisations dans 10 pays interrogés pensaient que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois. En comparaison, seulement 48 % des RSSI à qui une question similaire a été posée plus tôt cette année pensaient que leur entreprise risquait de subir une cyberattaque importante.

En moyenne, 69 % des membres du conseil d’administration pensaient être d’accord avec leur RSSI. Cependant, seuls 51 % des RSSI pensaient être d’accord avec leur conseil d’administration.

Les chiffres ont été dévoilés dans une enquête réalisée pour Proofpoint et publiée mardi dernier.

Six cents membres du conseil d’administration d’organisations de plus de 5 000 employés dans 12 pays ont été interrogés. Les résultats ont été comparés aux réponses à l’enquête fournies par les RSSI de 10 pays plus tôt cette année.

Les conseils d’administration semblent être plus confiants quant à la posture de cybersécurité de leur organisation que les RSSI, a déclaré Lucia Milica, RSSI résidente mondiale de Proofpoint, dans une interview.

C’est inquiétant, dit-elle, parce que les conseils d’administration ont une responsabilité de surveillance. « La cybersécurité est un risque d’affaires », a-t-elle souligné, « et quelque chose auquel ils doivent prêter attention. »

Un problème, a-t-elle dit, « pourrait être la capacité du RSSI à traduire un sujet complexe comme le cyber-risque en risque commercial ».

Parmi les autres chiffres inquiétants du rapport, 24 % des membres du conseil d’administration interrogés ont déclaré qu’ils ne parlaient pas régulièrement de cybersécurité. Ce nombre n’est « pas fantastique », a-t-elle déclaré. En comparaison, 21 % des membres du conseil d’administration ont déclaré qu’ils parlaient des problèmes de cybersécurité une fois toutes les deux à trois semaines. Un autre 16 pour cent ont dit qu’il est discuté chaque semaine.

Le décalage entre les conseils d’administration et les RSSI variait selon les pays où 50 membres du conseil d’administration de chaque pays (États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Australie, Singapour, Japon, Brésil et Mexique) ont été interrogés. Certaines des questions étaient les mêmes que celles posées dans le rapport Voice of the CISO de Proofpoint publié en mai.

Par exemple, au Canada, 72 % des membres du conseil d’administration ont convenu que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois. En comparaison, seulement 62 % des RSSI canadiens pensaient que c’était probable.

Aux États-Unis, la divergence était plus nette : 76 % des membres du conseil d’administration pensaient que leur organisation risquait de subir une cyberattaque importante au cours des 12 prochains mois, contre 34 % des RSSI.

Les RSSI canadiens étaient également beaucoup plus optimistes quant à leur communication avec les membres du conseil d’administration; 85 % des RSSI interrogés ont convenu qu’ils étaient d’accord avec leur conseil d’administration. En comparaison, seulement 60 % des administrateurs canadiens étaient d’accord avec cet énoncé.

Seulement la moitié des RSSI américains pensaient être d’accord avec leur conseil d’administration, tandis que 69 % des membres du conseil étaient d’accord.

Il y avait également des différences dans les menaces que chaque groupe considère comme le plus grand risque de cybersécurité pour leurs organisations.

Ces différences d’opinion peuvent refléter les différentes perspectives que chaque rôle apporte à l’organisation, indique le rapport. Les RSSI considèrent principalement que leur rôle consiste à empêcher les attaques de perturber l’entreprise et à permettre à l’entreprise de continuer à fonctionner malgré les cyberattaques. Les membres du conseil d’administration représentent les actionnaires et sont plus soucieux de protéger la valeur de leurs investissements, qui peuvent décliner lorsque l’organisation subit une atteinte à la réputation ou une perte de revenus. Cela pourrait expliquer pourquoi, à l’échelle mondiale, 41 % des membres du conseil d’administration déclarent que la fraude par courriel (également appelée compromission des courriels professionnels) est leur plus grande préoccupation, contre 30 % des RSSI.

Le rapport a été rédigé par le groupe Cybersecurity at MIT Sloan de la Sloan School of Management du Massachusetts Institute of Technology. Il conclut que les résultats de l’enquête montrent qu’il existe « une grande opportunité de discussion » entre les conseils d’administration et les RSSI.

« Plus le conseil d’administration fait de la cybersécurité une priorité », ajoutent les auteurs, « plus les autres dirigeants feront de même. »

Le rapport y va de quelques recommandations aux conseils d’administration :

  • Inscrire la cybersécurité à l’ordre du jour de chaque réunion du conseil d’administration
  • Avoir un tableau de bord personnalisé pour le conseil d’administration des mesures de cybersécurité pertinentes.
  • Participer à des exercices pratiques de cybersécurité en entreprise.
  • Rencontrer régulièrement les leaders de la cybersécurité pour tisser des relations plus solides.

L’article original (en Anglais) est disponible sur IT World Canada, une publication soeur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les cyberattaques fonctionnent parce que les RSSI ne s’occupent pas de la sécurité de base selon Microsoft

Les dirigeants de la sécurité de l’information sont toujours en retard quant aux bases de la cybersécurité, laissant leurs organisations inutilement exposées aux attaques, déclare le vice-président de Microsoft Security.

L’appât des cartes-cadeaux bien présent lors d’un test de hameçonnage

Un nombre important d'employés sont toujours victimes d'escroqueries par hameçonnage, selon les résultats d'un test mondial réalisé par une entreprise québécoise.

Pourquoi les conseils d’administration ignorent les RSSI et 4 façons de les amener à écouter

Imaginez un adulte devant vous parlant dans une langue étrangère inintelligible. Selon Jeffrey Wheatman, c'est ainsi que la plupart des responsables de la sécurité des systèmes d'information (RSSI) sonnent à leurs conseils d'administration et à la direction générale.

Des solutions de gouvernance de l’IA pour en faciliter la surveillance par les conseils d’administration

NuEnergy.ai, une entreprise de technologie d’Ottawa qui offre des solutions de gouvernance de l'intelligence artificielle (IA), cherche à doter les hauts dirigeants d'entreprise des connaissances, du cadre et des logiciels nécessaires pour interagir avec les solutions de gouvernance de l'IA et inclure la gouvernance de l'IA dans leurs registres des risques.

Une session du MapleSEC examine la meilleure façon de mettre fin au chaos des courriels

Les chiffres sont à la fois effrayants et alarmants. Au cours de 2022, selon Statista, on estime qu'un nombre stupéfiant de 333,2 milliards de courriels seront envoyés et reçus dans le monde, un nombre qui atteindra 347,3 milliards l'année prochaine et franchira la barre des 376,4 milliards d'ici 2025.