Chapitre 1
Le conseil d’administration perd‑il confiance dans le chef de la sécurité de l’information et l’équipe de cybersécurité?
De prime abord, les chefs de la sécurité de l’information du secteur des TMT semblent maintenir de bonnes relations. Près d’un quart d’entre eux affirme relever directement du PDG.
Ce chiffre est bien supérieur à la moyenne de 12 % enregistrée dans les autres secteurs. De la même façon, 43 % d’entre eux affirment que le conseil d’administration intègre la cybersécurité à son ordre du jour chaque semaine ou chaque mois; seulement 21 % des autres organisations font de même.
Malgré leurs échanges réguliers avec l’équipe de la haute direction, les chefs de la sécurité de l’information du secteur des TMT risquent de perdre la cote. Dans le Sondage mondial d’EY sur les risques auprès d’administrateurs 2021, seulement 7 % des membres des conseils d’administration du secteur des TMT exprimaient un niveau élevé de confiance dans les mesures d’atténuation des cyberrisques de leur entreprise. Ce chiffre est inférieur à la moyenne intersectorielle, mais aussi au résultat du sondage de l’an dernier, selon lequel 23 % des conseils d’administration du secteur des TMT avaient une grande confiance dans la fonction de cybersécurité.
La pression pèse sur les leaders du secteur des TMT. Un peu moins de la moitié d’entre eux (46 %) affirment que leur travail n’a jamais été soumis à un examen aussi rigoureux, et ils craignent que le conseil d’administration remette en question la rentabilité de l’équipe : en fait, 62 % d’entre eux admettent que le conseil d’administration ne voit pas toujours l’intérêt d’un financement supplémentaire en matière de cybersécurité.
Accroître le budget consacré à la cybersécurité
62 %des chefs de la sécurité de l’information du secteur des TMT déclarent que les arguments en faveur d’un financement supplémentaire ne sont pas toujours compris.
Dans ce contexte, il se pourrait que la relation entre les chefs de la sécurité de l’information du secteur des TMT et le conseil d’administration doive repartir sur de nouvelles bases. « Du point de vue de la surveillance, les conseils d’administration doivent se demander où se situe la cybersécurité dans le cadre de la transformation », explique Kris Lovejoy.
Chapitre 2
Les équipes de cybersécurité tirent‑elles le maximum d’un budget décent?
Comme les équipes de sécurité du secteur des TMT sont relativement bien dotées en ressources, devraient‑elles en faire plus?
Selon le Sondage mondial d’EY sur la sécurité de l’information de 2021, les fonctions de cybersécurité du secteur des TMT disposaient en moyenne d’un budget de 9,6 millions de dollars américains cette année, comparativement à 5,3 millions de dollars américains dans les autres secteurs. De plus, 65 % des répondants du secteur des TMT comptent plus de 20 équivalents temps plein, contrairement à 39 %, tous secteurs confondus, dans des organisations à l’effectif comparable.
Pour ces chefs de la sécurité de l’information, la question est de savoir s’ils mettent à profit ces ressources supplémentaires. Dans un secteur où les organisations déploient sans cesse de nouvelles initiatives numériques, la cybersécurité offre‑t‑elle une sécurité dès la conception?
En bref, la réponse est non. Moins de la moitié des chefs de la sécurité de l’information du secteur des TMT (42 %) sont convaincus que les nouvelles initiatives numériques de leur entreprise sont sécurisées dès la conception, et seulement 20 % d’entre eux sont généralement impliqués dans la phase de planification des nouveaux projets.
Selon Andy Ng, leader, Consultation, Protection des données et de la vie privée d’EY EMOIA, il faut faire de la nécessité une vertu. « En maintenant la visibilité de vos actifs essentiels et en renforçant la politique, vous êtes en mesure d’agir plus rapidement et avec plus de confiance. Voilà où réside la possibilité, mentionne‑t‑il. Il s’agit de passer d’une approche axée sur la conformité et sur la prévention des pertes de données – deux aspects importants – à une approche fondée sur la collaboration et l’innovation. »
Un autre défi qui se présente aux chefs de la sécurité de l’information du secteur des TMT est la façon de déployer leurs ressources efficacement alors que la surface d’attaque de leurs organisations s’étend. « Les entreprises du secteur des TMT sont les plus exposées aux risques liés à la chaîne d’approvisionnement de tiers, relève Kris Lovejoy. Elles ingèrent des technologies de fournisseurs tiers, en plus d’en concevoir et d’en fournir à d’autres. »
Le Sondage mondial d’EY sur la sécurité de l’information de 2021 évoque qu’il est urgent de sécuriser la chaîne d’approvisionnement, les chefs de la sécurité de l’information exprimant de grandes inquiétudes quant aux risques liés aux tiers. À peine 34 % d’entre eux sont convaincus que les tiers divulgueront en temps opportun toute atteinte à la sécurité, le cas échéant, et un maigre 14 % a bon espoir de pouvoir protéger la chaîne d’approvisionnement.
Chapitre 3
Pourquoi est‑il si difficile d’assurer la sécurité dès la conception?
Les entreprises du secteur des TMT excluent la cybersécurité de l’étape de planification des nouvelles initiatives.
Plus de la moitié des leaders en cybersécurité du secteur des TMT (58 %) affirment que leurs organisations déploient de nouvelles technologies dans des délais qui ne permettent pas une évaluation ou une surveillance adéquate sur le plan de la cybersécurité.
De plus, bon nombre d’entre eux rapportent que leurs organisations écartent le volet cybersécurité lorsqu’elles effectuent des transformations rapides. Le passage aux activités à distance en est un bon exemple : 55 % des répondants du secteur reconnaissent que les équipes fonctionnelles contournent les processus de cybersécurité pour faciliter la mise en place de nouvelles exigences liées aux modalités de travail flexibles.
Les chefs de la sécurité de l’information peuvent reprocher aux autres fonctions de l’entreprise un manque de souplesse ou des délais irréalistes, mais rejeter le blâme sur qui que ce soit ne réglera rien. « Il y a de la méfiance à l’égard des unités fonctionnelles, ce qui porte à croire que les chefs de la sécurité de l’information ne sont pas entièrement intégrés », affirme Kris Lovejoy.
Une approche plus efficace serait de communiquer et d’établir des liens avec l’ensemble de l’organisation. Peu de chefs de la sécurité de l’information du secteur des TMT bénéficient de solides relations avec les fonctions clés. Près de la moitié d’entre eux, soit 48 %, qualifient de mauvaises leurs relations avec la fonction marketing, tandis que 56 % se plaignent d’interactions négatives avec les ressources humaines. Par ailleurs, 33 % entretiennent des relations insatisfaisantes avec la fonction développement de produits. Dans un tel contexte, il serait probablement vain d’espérer être consulté à la phase de planification de nouvelles initiatives.
Les chefs de la sécurité de l’information doivent être prêts à prendre l’initiative d’améliorer ces relations, et il y a lieu de croire qu’ils en reconnaissent la nécessité. La moitié d’entre eux indiquent que leur principale priorité après la pandémie de COVID‑19 consistera à instaurer une culture qui intègre la sécurité dès la conception.
Relever le défi : quelles mesures peuvent prendre les chefs de la sécurité de l’information du secteur des TMT?
Alors que les auteurs de cybermenaces intensifient leurs attaques à l’encontre du secteur, les chefs de la sécurité de l’information en TMT sont contraints d’agir. Trois mesures peuvent s’avérer essentielles.
1. Voir au‑delà de la conformité pour tirer profit des équipes interfonctionnelles
Par le passé, les chefs de la sécurité de l’information ont souvent eu tendance à recourir à la conformité pour justifier le déploiement de mesures de cybersécurité. L’argument voulant qu’ils doivent adopter une cyberpolitique « parce que c’est le règlement » n’a plus autant de poids qu’auparavant. Néanmoins, selon l’étude, les chefs de la sécurité de l’information s’appuient fortement sur la réglementation; 94 % d’entre eux s’entendent pour dire que la conformité permet de se concentrer sur les bonnes priorités et d’assurer les comportements adéquats.
En pratique, la clé du renforcement des relations réside dans la participation à des discussions sur les questions prioritaires pour les partenaires d’affaires, en mettant l’accent sur les facteurs commerciaux et stratégiques. « L’aspect le plus important du travail d’un chef de la sécurité de l’information, c’est de pouvoir relater les faits, affirme Andy Ng. Il faut rapporter la version du siège social, en plus de celle de l’équipe de la sécurité et de la fonction technique. Il s’agit sans contredit d’un rôle de ‘‘chef de l’information et des tribunes’’ ».
2. Investir dans le développement de nouvelles compétences
Moins de la moitié des chefs de la sécurité de l’information du secteur des TMT, soit 42 %, sont convaincus que les compétences dont ils ont besoin sont à leur portée. Il ne doit pas s’agir uniquement de compétences d’ordre technique : une cybersécurité efficace repose de plus en plus sur des gens dotés d’un esprit d’équipe et d’une grande sensibilité aux affaires qui peuvent échanger positivement avec l’ensemble de l’entreprise, surtout s’ils s’appuient moins sur la réglementation.
Toutefois, un peu moins de la moitié des chefs de la sécurité de l’information du secteur (43 %) sont persuadés que leurs équipes sont sur la même longueur d’onde que les autres chefs de l’entreprise.
Communiquer avec l’ensemble de l’entreprise
43 %des chefs de la sécurité de l’information du secteur des TMT estiment que leurs équipes sont sur la même longueur d’onde que les autres chefs de l’entreprise.
« C’est un véritable problème, mentionne Kris Lovejoy. Les chefs de la sécurité de l’information du secteur des TMT sont convaincus que leur organisation reconnaît qu’ils protègent l’entreprise, mais ils savent qu’ils ne sont pas perçus comme étant flexibles, collaboratifs ou tournés vers l’innovation. »
3. Accroître la sensibilisation à l’égard des nouvelles stratégies des auteurs de cybermenaces
Ces dernières années, les auteurs de cybermenaces ont adapté leurs stratégies, notamment en trouvant de nouveaux moyens d’infiltrer la chaîne d’approvisionnement. Les groupes criminels cyniques sont susceptibles de cibler les entreprises du secteur des TMT avec des rançongiciels, sachant que la perturbation des activités aura des incidences sociétales.
Cependant, les chefs de la sécurité de l’information du secteur des TMT sont toujours en train de construire leurs défenses contre ces stratégies. Moins d’un tiers d’entre eux, soit 27 %, ont la certitude de pouvoir évaluer dans quelle mesure les employés participent à la désinformation. Beaucoup moins de la moitié d’entre eux (37 %) ont confiance dans leur capacité à assurer l’étanchéité de la chaîne d’approvisionnement.
« Ces secteurs sont au cœur de la transformation dont dépendent notre société et notre économie, conclut Kris Lovejoy. Selon moi, on ne saurait surestimer la nécessité d’une intervention qui suit une approche descendante. »
Résumé
Le secteur des TMT est dynamique, innovant constamment à un rythme toujours plus rapide. Il est important que les chefs de la sécurité de l’information participent dès le départ au cycle de développement de nouveaux produits et services. Tant pour leur bien que pour celui de leurs équipes, ils doivent établir des relations avec leurs pairs de l’ensemble de l’entreprise, en présentant favorablement le rôle de la sécurité dans le parcours plus vaste de l’entreprise.