Qui est responsable de la cybersécurité ? La question indispose les entreprises. Les réponses sont évasives. L’absence de leadership clair est manifeste !
Manque de responsabilité des conseils d’administration dans de nombreuses entreprises, peu ou pas de leadership… Graves conclusions ! Elles résultent d’une étude mondiale de Trend Micro auprès de 2 600 responsables informatiques mondiaux responsables de la cybersécurité dans des petites, moyennes et grandes organisations.
48 % des répondants affirment que leurs dirigeants ne considèrent pas la cybersécurité comme leur responsabilité. Seuls 17 % sont totalement en désaccord avec cette affirmation. Cependant, lorsqu’on leur demande qui est ou devrait être responsable de l’atténuation des risques commerciaux, les répondants ne sont pas d’accord sur leurs réponses.
Une attitude incohérente, qui peut varier d’un mois à l’autre
Bien que la réponse la plus populaire soit le CEO (42 %), une grande partie pense que la responsabilité incombe au CIO (34 %). Suivent CISO (26 %), le CFO (20 %)… et même au CMO (14 %) ! Un tiers supplémentaire (31 %) pense que les équipes IT des organisations devraient être en charge de la gestion des cyber-risques.
Un manque de clarté dans les lignes hiérarchiques et la responsabilité peut se traduire par une élaboration erratique des politiques et une absence de vision stratégique à long terme. En fait, plus de la moitié (54 %) des responsables IT interrogés se plaignent que l’attitude de leur organisation face aux cyber-risques est incohérente et varie d’un mois à l’autre !
Une source unique de vérité
Pour Bharat Mistry, Technical Director UK & Ireland, Trend Micro Europe, l’absence de leadership clair en matière de cybersécurité peut avoir un effet paralysant sur une organisation, conduisant à une prise de décision réactive, fragmentaire et erratique. « Les entreprises ont besoin que les CISO communiquent clairement en termes de risque commercial pour impliquer leurs conseils d’administration. Idéalement, ils devraient disposer d’une source unique de vérité sur toute la surface d’attaque à partir de laquelle partager les mises à jour avec le conseil d’administration, surveiller en permanence les risques et corriger automatiquement les problèmes pour une cyber-résilience améliorée. »