Un nouveau rapport de Proofpoint et du MIT révèle que près d’un membre de conseil d’administration sur deux à travers le monde ne se sent pas prêt à gérer une cyberattaque, alors même que la cybersécurité est une priorité absolue

Collaboration_Press_Release

PARIS, France, 6 octobre 2022 - Proofpoint, leader en cybersécurité et conformité, et Cybersecurity at MIT Sloan (CAMS), groupe de recherche interdisciplinaire, dévoilent aujourd’hui un nouveau rapport Cybersecurité : Board Perspective 2022, qui explore les principaux défis et risques auxquels sont confrontés les conseils d’administration. La cybersécurité occupe une place prépondérante dans leurs agendas. Soixante-dix-sept pour cent des répondants conviennent que la cybersécurité est une priorité absolue pour leur conseil d'administration et 76 % discutent de ce sujet au moins une fois par mois. Par conséquent, 75 % pensent que leur conseil d'administration comprend clairement les risques systémiques auxquels leur organisation est confrontée et 76 % affirment qu'ils ont réalisé des investissements adéquats en matière de cybersécurité.

Mais cet optimisme pourrait être mal placé. Le rapport révèle que près des deux tiers (65 %) des membres de conseils d'administration estiment que leur organisation risque de subir une cyberattaque importante au cours des 12 prochains mois. Près de la moitié (47 %) estiment que leur organisation n'est pas préparée à faire face à une attaque ciblée. Et seuls deux tiers des membres de conseils d'administration considèrent l'erreur humaine comme leur plus grande vulnérabilité en matière de cybercriminalité, alors que le Forum économique mondial a constaté que ce risque est à l'origine de 95 % de tous les incidents de cybersécurité.

Le rapport Cybersécurité : Board Perspective 2022 examine les réponses à une enquête mondiale menée auprès de 600 membres de conseils d'administration d'organisations comptant 5 000 employés ou plus et appartenant à différents secteurs d'activité. En août 2022, 50 membres de conseils d’administration ont été interrogés sur chaque marché dans 12 pays : France, États-Unis, Canada, Royaume-Uni, Allemagne, Italie, Espagne, Australie, Singapour, Japon, Brésil et Mexique.

Le rapport explore trois domaines clés : les cybermenaces et les risques auxquels les conseils d'administration sont confrontés, leur niveau de préparation pour combattre ces menaces, et leur alignement avec les RSSI, dont les perceptions ont été mises en lumière dans le récent rapport Voice of the CISO 2022. Les deux rapports mis au regard l’un de l’autre révèlent à l’échelle mondiale une certaine déconnexion entre les deux parties en matière de risques et de menaces cyber.

" Il est encourageant de constater que la cybersécurité est enfin au cœur des conversations dans les conseils d’administration. Cependant, notre rapport montre qu’il reste beaucoup de chemin à parcourir pour comprendre le paysage des menaces et se préparer à des cyberattaques d’envergure ", a déclaré Lucia Milică, vice-présidente et RSSI résidente mondiale chez Proofpoint. "L'une des façons dont les conseils d'administration peuvent améliorer leur préparation est de se mettre sur la même longueur d'onde que leurs RSSI. La relation conseil d’administration/RSSI est déterminante pour la protection des personnes et des données, et chaque partie doit s'efforcer de communiquer plus efficacement et de collaborer pour protéger l'organisation. "

Le rapport Cybersécurité : Board Perspective 2022 met en évidence les tendances mondiales ainsi que les différences sectorielles et régionales. Les principales conclusions pour la France sont les suivantes :

  • Contrairement au reste du monde, conseils d'administration et RSSI français sont sur la même longueur d'onde lorsqu'il s'agit d'évaluer le risque cyber : 78 % des membres des conseils d'administration français estiment que leur organisation risque de subir une cyberattaque importante au cours des 12 prochains mois (le chiffre le plus élevé de tous les pays étudiés, ex aequo avec les États-Unis), contre 80 % des RSSI.
  • De la même manière, en France, les membres de conseils d'administration et les RSSI ont des préoccupations similaires concernant les menaces auxquelles ils sont confrontés : les membres du conseil d'administration ont classé la fraude par email/compromission d'emails professionnels (BEC) et les attaques de la chaîne logistique comme leurs principales préoccupations (42%), suivies par les ransomwares (40%). La fraude par email/la compromission d’emails professionnels (BEC) et les ransomwares figurent également parmi les principales préoccupations des RSSI français. Néanmoins, ils considèrent les attaques par déni de service (DDoS) comme une menace importante, alors que les membres du conseil d'administration considèrent ce type d’attaque comme une préoccupation moindre.
  • Néanmoins, les membres de conseils d'administration ne sont pas d'accord avec les RSSI sur les conséquences les plus importantes d'un incident cyber : L'atteinte à la réputation figure en tête de liste des préoccupations des conseils d'administration (40 %), tandis que les RSSI s'inquiètent surtout de l'impact sur la valorisation des entreprises.
  • Etre sensibilisé aux cyberattaques ne se traduit pas forcément par un état de préparation suffisant : bien que 72 % des répondants français estiment que leur conseil d'administration comprend le risque systémique de leur organisation, que 72 % pensent avoir investi suffisamment dans la cybersécurité, que 68 % estiment que leurs données sont correctement protégées et que 58 % discutent de la cybersécurité au moins une fois par mois, ces efforts semblent insuffisants - 40 % considèrent toujours que leur organisation n'est pas préparée à faire face à une cyberattaque au cours des 12 prochains mois.
  • De la même manière, une forte sensibilisation des employés ne protège pas contre l'erreur humaine : bien que 76 % des personnes interrogées pensent que leurs employés comprennent leur rôle dans la protection de l'organisation contre les menaces, 78 % des membres de conseils d'administration français estiment que l'erreur humaine est leur plus grande vulnérabilité.
  • Conseils d'administration et RSSI français partagent une vision commune de la cybersécurité mais la compréhension entre les deux parties peut encore s’améliorer : 67 % des membres des conseils d'administration déclarent avoir une vision commune avec leur RSSI et 64 % des RSSI pensent de même.
  • Les conseils d'administration s'ouvrent à la surveillance réglementaire : 84 % des répondants français sont d'accord pour dire que les organisations devraient être tenues de signaler une cyberattaque importante aux autorités de réglementation dans un délai raisonnable, et seulement 2 % ne sont pas d'accord.

"Les membres des conseils d'administration jouent un rôle clé dans la culture et la posture de cybersécurité de leur organisation. Ils ont également une responsabilité fiduciaire et de surveillance ; ils doivent donc comprendre les menaces de cybersécurité auxquelles leur organisation est confrontée et la stratégie à adopter pour être cyber-résilient", a déclaré le Dr Keri Pearlson, directeur exécutif de Cybersecurity at MIT Sloan (CAMS). "Les membres du conseil d'administration doivent chercher des moyens de faire des RSSI leurs partenaires stratégiques. Le risque de cybersécurité étant au cœur des préoccupations des conseils d'administration, un meilleur alignement des priorités des RSSI et des conseils d'administration en matière de cybersécurité ne pourra qu'améliorer la protection et la résilience des organisations."

Pour télécharger le rapport Cybersecurité : Board Perspective 2022, rendez-vous sur :

https://www.proofpoint.com/fr/resources/white-papers/board-perspective-report

Visitez le CISO Hub de Proofpoint à l'adresse www.proofpoint.com/us/ciso-hub, pour consulter des contenus destinés aux RSSI, notamment des recherches, des tendances, des ressources techniques, des outils et des événements à venir. Chaque mois, un sujet d'actualité est abordé et présente un intérêt particulier pour les RSSI.

À propos de Proofpoint, Inc.

Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques. Les entreprises de toutes tailles, y compris plus de 75 % des entreprises de l’index Fortune 100, font confiance à Proofpoint pour diminuer leurs risques les plus critiques en matière de sécurité et de conformité via les emails, le cloud, les réseaux sociaux et le Web. Pour plus d’informations, rendez-vous sur www.proofpoint.com/fr.   

À propos de Cybersecurity at MIT Sloan

Cybersecurity at MIT Sloan (CAMS) est un consortium de recherche interdisciplinaire dont le siège est à la Sloan School of Management du MIT. En collaboration avec des chercheurs de départements du MIT et d'ailleurs, le CAMS répond à l'important besoin d'améliorer la cybersécurité de toutes les organisations par une approche de recherche interdisciplinaire axée sur les questions stratégiques, managériales et opérationnelles liées à la cybersécurité. Le CAMS réunit des leaders d'opinion de l'industrie et du gouvernement avec des professeurs, des chercheurs et des étudiants du MIT. Le consortium de recherche diffuse ses résultats et ses idées par le biais de documents de recherche publiés, d'articles d’ateliers, de conférences et d'activités éducatives. Vous pouvez retrouver les recherches du CAMS dans Harvard Business Review, la Sloan Management Review, le Wall Street Journal, le New York Times et de nombreuses autres publications. Les membres du CAMS, dont le soutien finance la recherche et qui ont le premier accès aux résultats, comprennent des entreprises de nombreux secteurs, notamment la finance, l'énergie, les produits chimiques, la santé, l'automatisation industrielle, la fabrication, les services d'information, le gaz naturel, les services publics, etc. Pour plus d’informations, rendez-vous sur cams.mit.edu.