Les cyberattaques ont été incessantes au cours des 12 derniers mois. Les entreprises de tous types se retrouvant aux prises avec des compromissions de données très médiatisées, des ransomwares et des attaques de la chaîne logistique, les discussions de cybersécurité au sein du conseil d'administration deviennent de plus en plus critiques. Par ailleurs, les membres de conseils d'administration (CA) estiment que leur entreprise est moins préparée à faire face à des problèmes de cybersécurité que l'année précédente.
Ce ne sont là que quelques-unes des conclusions de notre deuxième enquête annuelle, L'approche des conseils d'administration en matière de cybersécurité en 2023, réalisée auprès de membres de CA évoluant dans un large éventail de secteurs d'activité à travers le monde.
Commençons par les points positifs de notre deuxième rapport annuel sur la perspective des conseils d'administration. Sur les 659 membres de CA que nous avons interrogés dans 12 pays :
- 73 % pensent que leur conseil d'administration accorde une priorité élevée à la cybersécurité.
- 72 % estiment que leur conseil d'administration comprend les menaces auxquelles il est confronté.
- 70 % s'accordent à dire qu'ils ont investi de manière adéquate dans des ressources.
Toutefois, le renforcement de la sensibilisation et l'augmentation des investissements ne se traduisent pas par un meilleur niveau de sécurité. 73 % des membres de CA estiment que leur entreprise risque d'être la cible d'une cyberattaque majeure au cours des 12 prochains mois, contre 65 % en 2022. Et 53 % pensent que leur entreprise n'est pas armée pour faire face à une attaque ciblée, contre 47 % l'année dernière.
Cette évolution pourrait refléter la volatilité du paysage des menaces en 2022. Les inquiétudes suscitées par les technologies émergentes telles que l'intelligence artificielle (IA) générative font aussi partie des facteurs. Plus de la moitié (59 %) des sondés considèrent que les outils d'IA générative tels que ChatGPT représentent un risque de sécurité pour leur entreprise.
Meilleures communication et entente entre les conseils d'administration et les RSSI
Notre enquête révèle également que les relations entre les conseils d'administration et les RSSI s'améliorent. D'une part, ils ont des conversations plus régulières. 53 % des membres de CA affirment qu'ils interagissent régulièrement avec leurs responsables de la sécurité, contre 47 % en 2022. Mais il existe toujours une marge d'amélioration. Moins de deux tiers (64 %) des membres de CA déclarent comprendre suffisamment les questions de cybersécurité pour avoir une discussion éclairée avec leur RSSI.
Nous avons également découvert que les conseils d'administration et les RSSI parviennent à mieux s'entendre lorsqu'ils interagissent les uns avec les autres. Près de deux tiers (65 %) des membres de CA sondés ont déclaré s'entendre avec le RSSI. Ce constat corrobore les conclusions de notre rapport Voice of the CISO publié en mai. Dans ce rapport, 62 % des RSSI interrogés disaient s'entendre avec leur conseil d'administration au sujet des problèmes de cybersécurité, contre 51 % en 2022.
Les membres de CA et les RSSI pourraient enfin dire adieu à leurs relations tendues, ce qui est évidemment une bonne nouvelle. Une meilleure harmonie entre les deux parties jouera un rôle déterminant dans les efforts déployés par les entreprises pour améliorer leur niveau de préparation et réaliser des investissements stratégiques en cybersécurité dans les années à venir.
La poursuite du développement des connaissances en cybersécurité à l'ordre du jour du conseil d'administration
Si la présence au conseil d'administration d'un responsable de la sécurité faisant partie de l'équipe de direction est rassurante, les membres de CA ne peuvent toutefois pas se permettre de relâcher leur vigilance. Maintenant qu'ils parlent la même langue que les RSSI, les membres de CA doivent procéder à une évaluation honnête des capacités de cybersécurité de leur entreprise et agir pour aider celle-ci à combler les failles dans ses défenses.
La sensibilisation des conseils d'administration n'est plus un frein à la mise en œuvre d'une stratégie de cybersécurité plus agressive, mais traduire cette sensibilisation en actions demeure un défi.
Même avant l'annonce des récentes règles de la SEC, il était évident que les conseils d'administration avaient besoin d'approfondir leur connaissance des risques de cybersécurité. Ils doivent également s'assurer que leurs stratégies d'atténuation des risques sont capables de défendre de manière adéquate leurs collaborateurs et leurs données, non seulement dans le paysage des menaces actuel, mais aussi à l'avenir.
Consultez le rapport L'approche des conseils d'administration en matière de cybersécurité en 2023 pour connaître toutes les conclusions de notre enquête.