Utrecht, le 5 decembre 2018 – Les responsables de la sécurité informatique des entreprises du monde entier sont impuissants dans la lutte contre la cybercriminalité. 86 pour cent des CISO (Chief Information Security Officer ou responsable de la sécurité des systèmes d’information) pensent que les atteintes à la cybersécurité sont inévitables. Les cybercriminels motivés par des intérêts financiers sont leur principale préoccupation. En effet, ils exercent trop peu d'influence au sein des conseils d’administration et éprouvent beaucoup de difficultés pour justifier les budgets nécessaires, une situation qui expose l’entreprise à plus de vulnérabilités. C'est une des conclusions d'un nouveau rapport de Kaspersky Lab.

Du nuage aux « insiders » malveillants : le champ de bataille s'agrandit

Dans le monde des entreprises, le rôle du CISO gagne chaque jour en importance : les cybermenaces montent en puissance et plusieurs entreprises sont en pleine transformation numérique. Le rapport de Kaspersky Lab montre que la responsabilité qui repose sur les épaules du CISO est plus grande que jamais auparavant. 57% de ceux-ci considèrent les infrastructures complexes avec le cloud et la mobilité comme un défi de taille. La moitié est préoccupée par la recrudescence continue des cyberattaques.

Selon 40% des CISO, les bandes criminelles animées par des motivations financières représentent actuellement les plus grands risques pour leur entreprise. Il s'agit de menaces qu'il est très difficile de prévenir parce qu'elles sont le fait de cybercriminels « professionnels ». De plus, ces acteurs sont aidés par des collaborateurs internes qui sont pourtant censés être « du bon côté ». Ce qui rend le tout encore plus complexe.

Les CISO sont mis en concurrence avec d’autres départements pour justifier leur budget

De manière générale, les budgets consacrés à la cybersécurité augmentent. 56% des CISO s'attendent à ce que leur budget augmente à l'avenir, tandis que 38% pensent qu’un statu quo sera de mise. Néanmoins, les CISO sont confrontés à des défis budgétaires majeurs. Il leur est presque impossible de formuler un retour sur investissement (ROI) clair ou d'offrir une protection à 100 pour cent contre les cyberattaques.

Ainsi, 36% des CISO déclarent qu'ils ne peuvent pas garantir le budget requis pour la sécurité des IT parce qu'ils ne peuvent garantir l'absence d'une infraction ou d’une fuite de données. Lorsque les budgets de sécurité sont considérés par une entreprise comme une rubrique des dépenses informatiques totales, les CISO estiment qu'ils devraient être budgétés sur le même plan que les autres départements. 33% des CISO affirment que les projets liés au numérique, au cloud ou à d’autres domaines informatiques sont prioritaires, car il est beaucoup plus facile de formuler un retour sur investissement concret pour ceux-ci.

Dans le cas de la transformation numérique, les CISO devraient pouvoir avoir voix au chapitre au niveau de la direction

Les cyberattaques peuvent avoir des conséquences désastreuses pour les entreprises. 28% des répondants épinglent le préjudice de notoriété et 25% les dommages financiers comme étant les conséquences les plus graves.

En dépit de l'impact négatif qu'une cyberattaque peut avoir, seulement 26% des CISO interrogés sont membres du conseil d'administration de leur entreprise. Parmi les participants qui ne sont pas membres du Conseil d’administration, 25% estiment que cela devrait être le cas.

La majorité des responsables de la sécurité informatique (58%) estiment qu'ils sont suffisamment impliqués dans la prise de décision au sein de l'entreprise. Étant donné que la transformation numérique est considérée comme essentielle pour l'orientation stratégique des grandes entreprises, cela devrait également s'appliquer à la cybersécurité. Ce changement de mentalité devra se traduire par un rôle accru du CISO de sorte qu'il puisse peser sur les décisions dans ce domaine.

« Les budgets dévolus à la cybersécurité ont toujours été considérés comme des dépenses informatiques relativement insignifiantes, mais ce n'est plus le cas », affirme Maxim Frolov, VP Global Sales chez Kaspersky Lab. « Les entreprises modernes sont de plus en plus vulnérables aux attaques, la fréquence et l'impact des cybermenaces s’exacerbent, tout comme les coûts liés à tout cyberincident. Il en résulte que de plus en plus de cadres de niveau C considèrent la sécurité informatique comme un investissement. »

« Aujourd'hui, les risques de cybersécurité sont en tête de la liste de priorités des CEO, CFO et Risk Officers », poursuit Frolov. « Un budget de cybersécurité n'est pas seulement un moyen d'éviter les violations et les risques. C'est un moyen de protéger la continuité des activités de l’entreprise, ainsi que ces investissements les plus importants. »