En France, 42 % des organisations interrogées considèrent la cyber-résilience comme une de leurs premières priorités mais de nombreux obstacles entravent encore sa mise en œuvre opérationnelle. En cause, un manque d’effectif, de compétence de répartition des responsabilités.
En matière de cyber résilience, selon les RSSI, la préparation de leurs organisations aux nouveaux risques se heurte à d’importants obstacles. Selon une enquête de Palo Alto Networks et d’IDC Research, en zone EMEA, seuls 38 % d’entre eux estiment avoir atteint la maturité suffisante en matière de cyber-résilience. La principale explication serait la pénurie de talents et le manque de compétences dans le domaine des technologies émergentes de la sécurité Vient ensuite l’absence de corrélation entre de nombreux produits unitaires (52 %). Lien de cause à effet ou non, à peine 28 % des responsables sécurité testent régulièrement leurs plans de rétablissement. Le taux le plus faible étant étonnamment celui du secteur banque, finance, assurance avec… 21% !
Aux menaces, s’ajoutent les perturbations géopolitiques et de supply chain
Pour Haider Pasha, responsable de la sécurité pour la zone EMEA et l’Amérique Latine chez Palo Alto Networks, “malgré des niveaux de maturité modérés dans la zone EMEA et l’Amérique latine, le nombre de RSSI équipés de façon à tester régulièrement leurs plans de rétablissement est étonnamment bas. Mais les RSSI évoluent dans un contexte difficile. D’une part, les événements géopolitiques et les perturbations des chaînes d’approvisionnement s’ajoutent aux menaces. D’autre part, la pénurie de talents et d’expertise adéquate complique encore la mise en œuvre de solutions et la préparation à faire face aux prochaines futures.”
Un phénomène international à quelques détails près
L’enquête révèle également un nombre étonnamment réduit de différences entre les marchés d’Europe, d’Amérique latine et du Moyen-Orient. Il y a un consensus sur le rôle vital de la cyber-résilience pour les entreprises. Les marchés dans lesquels la cyber-résilience est considérée comme une priorité majeure sont le Royaume d’Arabie saoudite (48 % des répondants), l’Espagne (44 %), le Brésil (43 %) et la France (42 %). Certains marchés européens, dont l’Allemagne et le Royaume-Uni [3], tendent moins à la considérer comme une priorité. En parallèle du problème de la fragmentation, l’enquête met en lumière divers enjeux technologiques. L’utilisation des mesures de cybersécurité matures comme contribution à la cyber-résilience atteint tout juste 11 % chez les répondants. Dans certains pays de la zone EMEA, ce chiffre descend même de 0 à 5 %. La plupart des pays ont majoritairement recours à des plans de continuité d’activité (74 %), des plans de rétablissement d’activité (72 %), des plans de rétablissement après rançongiciel (54 %) et des stratégies de gestion de crise (51 %).
Le CA désigné principal instigateur des initiatives cyber
L’enquête fait cependant ressortir l’envie de faire changer la culture vis-à-vis de la cyber-résilience. À cet égard, l’influence des équipes dirigeantes est en train de gagner du terrain. 72 % des répondants ont désigné le conseil d’administration comme le principal instigateur des initiatives de cyber-résilience, qui arrive avant les obligations réglementaires (70 %). Enfin, l’enquête met en lumière un manque de consensus en matière de leadership et de responsabilité en matière de cyber-résilience. Selon l’étude IDC Research, la responsabilité globale de diriger les actions de l’organisation pour assurer un niveau élevé de cyber-résilience incombe en partie aux DSI (29 %), aux CTO (22 %), aux chefs d’unité commerciale (19 %) ; avec seulement 17% l’attribuant au RSSI.
Les directions de plus en plus impliquées
Ce manque d’appropriation entrave la prise de décision, malgré le fort soutien des plus hauts niveaux de direction : plus de la moitié des DSI de la région EMEA admettent que les membres de la direction sont préoccupés, conscients et concentrés sur la cyber-préparation et examinent régulièrement la cyber-résilience. Haider Pasha poursuit son analyse : “Il est vital que l’équipe de direction s’engage sans équivoque à créer et gérer des politiques de cybersécurité claires et à en mesurer l’impact. Elle doit aussi donner les moyens aux responsables intermédiaires de prendre des décisions plus rapidement. Faute de quoi, toute la responsabilité des mesures de réaction aux incidents retombe sur les équipes de cybersécurité, alors que l’on pourrait orienter l’entreprise vers des stratégies mieux adaptées.”
