5 min de temps de lecture 21 oct. 2021
Cybersécurité : comment s’élever au-dessus des vagues en pleine tempête ?

Cybersécurité : comment s’élever au-dessus des vagues en pleine tempête?

Auteurs
Marc Ayadi

Associé, EY Consulting, Cyber leader, WEM, France

Cyber Leader. Persuadé que le combat contre le cyber-risque est un combat d’équipe dont l’humain est clef. Passionné par l’histoire et les anciennes civilisations.

Laurent Peliks

Associé, Consulting, Cyber, France

Expert cyber, Laurent accompagne les organisations depuis l’identification de leurs risques majeurs jusqu’à la mise en œuvre de leur roadmap cyber.

5 min de temps de lecture 21 oct. 2021

Cette édition 2021 révèle que les RSSI et les responsables de la sécurité se battent contre une nouvelle vague de menaces déclenchée par le COVID-19.

En résumé :

  • La cybersécurité est sous pression : 81% des répondants affirment que le COVID-19 a obligé les entreprises à contourner les processus cyber.
  • Trois défis se démarquent : des budgets insuffisants, la complexité de la réglementation et des relations tendues avec les acteurs métiers.
  • Si les RSSI parviennent à remédier aux lacunes en adoptant une approche de sécurité intégrée dès la conception, ils deviendront les artisans de la croissance à l’heure de la reprise.

L'édition 2021 de l’enquête mondiale EY sur la sécurité de l’information (GISS) illustre l’impact dévastateur et démesuré que la crise du COVID-19 a eu sur une fonction qui s’efforce de se positionner comme un pilier de la croissance et un partenaire stratégique pour l’entreprise.

La pandémie mondiale a plongé les entreprises en pleine tempête, créant un contexte propice aux cyberattaques qui ont considérablement augmenté, et nombre d'entre elles auraient pu être évitées.

Les RSSI sont à la croisée des chemins. Pour faire face aux problématiques complexes et très consommatrices de temps et de moyens auxquelles ils sont confrontés, ils doivent agir rapidement.

La crise du COVID-19, conjuguée à une introduction accélérée des nouvelles technologies et à la complexification du paysage réglementaire, met à rude épreuve les directions sécurité, les obligeant à être sur tous les fronts en même temps.

Marc Ayadi

Associé, EY Consulting, Cyber leader, WEM, France

 

Rapport GISS 2021 – Version française

Téléchargez la présentation des résultats détaillés de l’enquête EY GISS 2021 à l'échelle de la France. 
 
 
Les RSSI à la croisée des chemins
(Chapter breaker)
1

Chapitre 1

Les RSSI à la croisée des chemins

Une étape marquée par la pression, le changement et les opportunités

Consultation des équipes cybersécurité

56%

des répondants admettent que les équipes cybersécurité ne sont pas consultées, ou le sont trop tard, lorsque la direction prend des décisions stratégiques urgentes.

Au cours de l'année écoulée, dans des délais qui auraient été jugés impossibles il y a encore peu de temps, les entreprises progressistes ont déployé de nouvelles technologies. Elles ont également mis en place des outils basés sur l’informatique en nuage (cloud computing) pour travailler à distance et assurer ainsi la continuité d’activité.

Mais la rapidité du changement a eu un prix élevé. De nombreuses entreprises n'ont pas pris en compte la cybersécurité dans le processus de prise de décision, que ce soit par négligence ou par empressement. En conséquence, de nouvelles vulnérabilités sont apparues dans un environnement qui évoluait déjà rapidement et continuent de menacer l'entreprise aujourd'hui.

Focus France : 82% des entreprises françaises ont constaté une augmentation du nombre d'attaques.

La plupart des répondants (56 %) admettent que les équipes cybersécurité ne sont pas consultées, ou le sont trop tard, lorsque la direction prend des décisions stratégiques urgentes. Si certains affirment que cela ne se produit "pas très souvent", il suffit d'une seule fois pour qu'une faille dans les défenses soit exploitée par des cyberattaquants.

Les RSSI qui parviennent à atténuer les risques, tout en permettant la croissance et les ambitions technologiques de leur entreprise, ont un bel avenir devant eux. Les RSSI sont-ils donc prêts à saisir l'opportunité d'un nouveau rôle de soutien à la croissance ? Peuvent-ils intégrer la résilience avant la prochaine perturbation majeure de l'activité ? La réponse doit être oui, mais seulement s'ils peuvent d'abord relever trois défis critiques et interdépendants qui leur barrent la route :

  1. L’organisation est sévèrement sous-financée
  2. La fragmentation de la réglementation est un casse-tête
  3. Les relations de la cybersécurité avec les autres fonctions se détériorent
Trois défis qui freinent les RSSI
(Chapter breaker)
2

Chapitre 2

Trois défis qui freinent les RSSI

La cybersécurité en pleine tempête

1. De nos jours, la mise en place d’une organisation de cybersécurité est sévèrement sous-financée

L'un des problèmes concerne la manière dont le budget est planifié et alloué. Environ six personnes interrogées sur dix (61 %) déclarent que leur budget de sécurité fait partie d'une dépense plus importante de l'entreprise, comme l'informatique, et 19 % indiquent que ce budget est fixe et défini de manière cyclique.

Très peu d'organisations définissent leurs budgets de sécurité comme un coût variable et contingent de leur activité. En effet, les RSSI peuvent avoir du mal à évaluer les efforts nécessaires dans un contexte où les initiatives du marché sont spécifiques et évoluent rapidement.

Focus France : seulement 18% des entreprises françaises partagent le coût de la cybersécurité à l'échelle de l'entreprise.

Une minorité d'organisations adopte toutefois une approche plus stratégique du financement de la cybersécurité : fondée sur le risque.

2. La fragmentation de la réglementation est un casse-tête croissant pour les RSSI

Pour les organisations internationales, les exigences issues des réglementations peuvent devenir un vrai challenge, d'autant qu'elles disposent de systèmes parfois répartis sur plusieurs plaques continentales.

Laurent Peliks

Associé, Consulting, Cyber, France

 

L'environnement mondial de conformité devient de plus en plus complexe, avec des juridictions opérant aux niveaux régional et national dans le monde entier. Les entreprises de certains secteurs doivent gérer des réglementations spécifiques.

Si les cadres supérieurs sont peut-être devenus plus sensibles aux analyses de rentabilité qui associent l'augmentation des dépenses de cybersécurité à la transformation, ils semblent moins attentifs qu'ils ne l'étaient aux avertissements des RSSI concernant la charge croissante de la conformité.

3. Les relations de la cybersécurité avec les autres fonctions se détériorent

Pour gérer le risque cyber lié à la transformation stratégique, les RSSI doivent fournir des conseils dès les premières étapes de la prise de décision en matière d'investissement. Mais les relations entre la cybersécurité et les autres fonctions de l'entreprise, qui sont essentielles pour que ces consultations aient lieu, manquent de positivité et de force.

Focus France : seulement 20% des organisations françaises incluent la cybersécurité dans la phase de planification d'un programme de transformation numérique.

Fondamentalement, les relations deviennent plus positives pour le RSSI à mesure qu'il s'éloigne du cycle de planification, ce qui est un problème. Là où la cyber devrait être la plus impliquée pour soutenir la croissance, elle n'est pas invitée à la fête.

Les prochaines étapes pour le RSSI
(Chapter breaker)
3

Chapitre 3

Les prochaines étapes pour le RSSI

Le RSSI comme créateur de valeur

Comment les RSSI doivent-ils répondre aux principaux défis décrits dans l’enquête GISS de cette année ? Il ne fait aucun doute qu'ils doivent jouer un rôle plus stratégique et commercial au sein de leur organisation, en réinventant leurs équipes pour en faire des facilitateurs de la transformation.

Les résultats de l’enquête suggèrent que les RSSI devraient envisager trois actions fondamentales pour renforcer leur position au sein de l'entreprise.

1. Revenir à la “réalité du terrain » - réévaluer l’alignement avec l’entreprise

Les équipes de cybersécurité sont habituellement plus fortes lorsqu'il s'agit d'évaluer leurs capacités, d'identifier les risques et d'élaborer des feuilles de route pour l'avenir.

2. Revoir le profil des talents – mais ne pas attendre l’impossible

Pour répondre aux défis organisationnels mis en évidence par l'enquête, ainsi qu'à la nature sophistiquée des récentes attaques très médiatisées, les RSSI ont besoin du soutien de professionnels polyvalents.

Des profils multiples dans la fonction Cyber d’aujourd’hui

Profil d’un cadre en cybersécurité

Domaine de spécialité

Forces

Faiblesses

Expert sécurité Tout ce qui concerne la sécurité Expertise approfondie Manque de sens des affaires
Défenseur de la technologie Outils et solutions technologiques Orienté technologies Façon de raisonner silotée
Expert risque et réglementation Risques, contrôles et conformité Bon pour les secteurs hautement réglementés Manque d’acuité technologique
Plan de développement Intégration des entreprises Connectivité des entreprises Manque de connaissances en matière de technologie et de sécurité
Travailleurs à temps partiel Séparation entre cybersécurité et autres rôles principaux Economie de coûts Bon à tout faire

3. Naviguer sur tous les fronts – une nouvelle boussole de parties prenantes

Les RSSI connaissent bien le principe du "shifting left", qui consiste à impliquer la cybersécurité plus tôt dans le cycle de transformation et de développement des produits.

Les défis liés à la COVID-19 indiquent toutefois qu‘aller seulement vers la gauche n'est plus suffisant. Il est suggéré aux RSSI de se déplacer vers le nord, l'est, le sud et l'ouest. En pratique, cela signifie qu'il faut naviguer entre quatre groupes de parties prenantes clés.

 

Rapport GISS 2021 – Version française

Téléchargez la présentation des résultats détaillés de l’enquête EY GISS 2021 à l'échelle de la France. 
 
 

Ce qu'il faut retenir

La fonction de cybersécurité peut devenir un catalyseur essentiel de la croissance. Elle doit d'abord s'attaquer aux insuffisances budgétaires, surmonter la complexité de la réglementation et améliorer ses relations avec les autres fonctions de l'entreprise.

A propos de cet article

Auteurs
Marc Ayadi

Associé, EY Consulting, Cyber leader, WEM, France

Cyber Leader. Persuadé que le combat contre le cyber-risque est un combat d’équipe dont l’humain est clef. Passionné par l’histoire et les anciennes civilisations.

Laurent Peliks

Associé, Consulting, Cyber, France

Expert cyber, Laurent accompagne les organisations depuis l’identification de leurs risques majeurs jusqu’à la mise en œuvre de leur roadmap cyber.