Le moment est venu de rétablir les relations
59 %des organisations déclarent que la relation entre la fonction de cybersécurité et les secteurs d’activité est au mieux neutre, voire empreinte de méfiance ou non existante.
-
-
- La relation entre la cybersécurité et le marketing est au mieux neutre, voire empreinte de méfiance ou non existante, selon 74 % des organisations; 64 % disent la même chose pour l’équipe de recherche et développement; 59 % pour les secteurs d’activité. Les équipes de cybersécurité obtiennent même de piètres résultats sur leur relation avec la fonction finances dont elles dépendent pour l’autorisation du budget, 57 % des entreprises déclarant qu’elles ont des progrès à faire.
- Près de la moitié des répondants (48 %) déclare que le conseil d’administration n’a pas encore une pleine compréhension du risque lié à la cybersécurité; 43 %, eux, disent que le conseil ne comprend pas entièrement la valeur et les besoins de l’équipe de cybersécurité.
- Le sondage mondial d’EY sur les risques auprès d’administrateurs révèle que le conseil d’administration manque de confiance en la cybersécurité de son organisation, 50 % – au mieux – déclarant qu’ils ne sont qu’assez confiants.
- Seules 54 % des organisations mettent régulièrement la cybersécurité à l’ordre du jour du conseil d’administration.
- Six organisations sur dix déclarent qu’elles ne peuvent quantifier l’efficacité de leurs dépenses en cybersécurité auprès de leur conseil d’administration.
3. Le chef de la sécurité de l’information devient l’agent de transformation
En entretenant des relations plus solides au niveau de l’entreprise et du conseil d’administration, en ayant une meilleure compréhension des impératifs commerciaux de l’organisation et la capacité de prévoir l’évolution des cybermenaces, les chefs de la sécurité de l’information peuvent devenir un élément central de la transformation de leur organisation.
Ils devront changer leur manière de penser et développer de nouvelles compétences dans des domaines comme la communication, la négociation et la collaboration. Les chefs de la sécurité de l’information qui deviendront de puissants agents de changement seront ceux qui, plutôt que de dire « non » à de nouveaux projets diront « oui, mais… »
Article connexe
La fonction de cybersécurité vue comme un obstacle à l’innovation
7 %des organisations décriraient la cybersécurité comme un vecteur d’innovation; la majorité d’entre elles ont choisi des termes comme « aux fins de la conformité » et « motivée par un sentiment d’aversion pour le risque ».
-
-
- Seules 7 % des organisations décriraient la cybersécurité comme un vecteur d’innovation; la plupart ont choisi des termes comme « aux fins de la conformité » et « motivée par un sentiment d’aversion pour le risque ».
- Près de la moitié des organisations (48 %) déclarent que le principal facteur motivant de nouvelles dépenses est la réduction des risques et 29 % citent les exigences réglementaires. Seules 9 % mentionnent la facilitation de nouveaux projets d’affaires.
- Six organisations sur dix n’ont pas de chef de la cybersécurité au conseil d’administration ou au sein de l’équipe de direction.
Recommandations d’EY en bref
Selon les résultats du sondage sur la sécurité de l’information, il est clair qu’il y a aujourd’hui une réelle occasion de placer la cybersécurité au cœur de la transformation de l’entreprise et de l’innovation. Pour cela, les conseils d’administration, les équipes de la haute direction, les chefs de la sécurité de l’information et les dirigeants au sein de l’entreprise devront travailler ensemble pour :
- Établir la cybersécurité comme un important créateur de valeur en transformation numérique — intégrer la cybersécurité à l’étape de planification de tout nouveau projet. Mettre à profit une approche de sécurité dès la conception pour naviguer entre les risques liés à la transformation, la conception des produits ou des services dès le début (au lieu de le faire après coup).
- Établir des relations de confiance avec chaque fonction de l’organisation — analyser les principaux processus d’affaires avec les équipes de cybersécurité pour comprendre comment ils pourraient être touchés par les cyberrisques et de quelle façon l’équipe de cybersécurité peut contribuer à améliorer la fonction commerciale au sein de l’entreprise.
- Mettre en place des structures de gouvernance selon les objectifs — élaborer un ensemble d’indicateurs clés de performance et d’indicateurs clés de risque pouvant être utilisés pour communiquer une perspective axée sur les risques dans l’information destinée aux dirigeants et aux membres du conseil d’administration.
- Se concentrer sur la participation du conseil d’administration — communiquer dans un langage que le conseil d’administration comprend; prévoir un programme de quantification des risques pour communiquer plus efficacement les cyberrisques.
- Évaluer l’efficacité de la fonction de cybersécurité pour permettre au chef de la sécurité de l’information d’acquérir de nouvelles compétences — déterminer les forces et les faiblesses de la fonction de cybersécurité pour comprendre quelles compétences le chef de la sécurité de l’information devrait acquérir et comment rendre cette acquisition possible.
Résumé
Selon une nouvelle étude d’EY, si l’on exclut la nécessité de conformité, un gouffre sépare la cybersécurité du reste de l’entreprise. Pour combler ce fossé, les chefs de la sécurité de l’information doivent prouver la valeur de ce qu’ils communiquent dans un langage que les membres des conseils d’administration et de la haute direction peuvent comprendre; et l’entreprise doit adopter la cybersécurité dès le début et tout au long du cycle de vie de chaque projet.