Les RSSI des grandes entreprises se sentent invincibles
Publié par Jacques Cheminat le | Mis à jour le
Selon une étude, les RSSI des grandes entreprises souffrent d'un excès de confiance dans leur capacité à contrer les attaques. Une déconnexion par rapport à la réalité.
Accenture a mené une étude auprès de 2000 RSSI de grands groupes provenant de 15 pays et réalisant un chiffre d'affaires supérieur à 1 milliard de dollars. Les enseignements de cette étude, nommée « Building Confidence : Facing Cybersecurity Conundrum » (construire la confiance pour faire face aux problèmes de cybersécurité) sont assez troublants.
Par exemple, on apprend que 75% des répondants se déclarent confiants dans leur capacité à empêcher l'intrusion de pirates dans leurs systèmes d'information. Mieux, ils sont 70% à estimer que la cybersécurité est intégrée dans la culture de l'entreprise et qu'il s'agit d'une préoccupation du comité de direction. Un excès de confiance qui apparaît en décalage par rapport à la réalité de la cybersécurité et le niveau des attaques.
La première ligne de défense reste l'humain
Ainsi, l'étude montre que la moitié des RSSI admet que la détection d'une faille peut prendre quelques mois et 17% qu'elle peut aller jusqu'à 1 an voir plus. En moyenne, une entreprise doit faire face à une centaine d'attaques ciblées par an et un tiers de celles-ci a des chances d'aboutir, soit 2 à 3 par mois. Les équipes de sécurité arrivent à découvrir 65% des brèches de sécurité décelées, le reste étant trouvé par les employés et les White Hacker (hacker éthique, pen testeur, bug bounty, etc.)
La première ligne de défense reste donc l'humain, mais les investissements dans la formation des collaborateurs aux problématiques de sécurité ne sont pas prioritaires (17%). Par contre, les RSSI sont 54% favorables à accorder un budget supplémentaire pour les « priorités actuelles », donc de l'existant, qui au regard des réponses citées précédemment, ne donne pas une entière satisfaction. On retrouve parmi ces priorités, la protection de la réputation de l'entreprise, la sauvegarde des données et la sécurisation des informations clients.
La France championne du budget sécurité
La France est le pays qui dépense le plus en matière de cybersécurité avec 9,4% du budget informatique. La moyenne mondiale s'établit à 8,2%. Les Australiens sont ceux qui investissent le moins. Les américains sont dans la moyenne à 8%. L'étude constate avec ironie que ce niveau d'investissement n'a pas d'impact sur celui de la confiance dans la protection. En effet, les entreprises françaises, américaines et australiennes sont les moins confiantes dans leur capacité à surveiller les brèches. Accenture prône donc un peu plus d'humilité chez les RSSI et les appelle à repenser leur politique de cybersécurité.
A lire aussi :
RSSI, le nouveau job qui vaut de l'or
RSSI : des budgets très protecteurs et des choix empiriques