Cybersécurité et RSE, un lien encore peu établi en pratique ? La plupart des RSSI ne sont que passivement impliqués dans la définition des stratégies et leur mise en œuvre. C’est en tout cas la conclusion que KPMG tire dans son dernier rapport Cyber Trust Insights.
Moins d’un répondant sur cinq (échantillon : 1881 cadres dirigeants*) a affirmé que le RSSI et/ou l’équipe cybersécurité était « partie intégrante » de l’équipe RSE et de ses activités. Pour près de la moitié (44 %), le rôle se limite à fournir des informations sur demande.
Le rapport met aussi en lumière le casse-tête de la réglementation pour les RSSI. Ou plutôt des réglementations, pour les activités multinationales. Avec quelques éléments de contexte :
– La majorité des pays ont aujourd’hui une forme de régime de protection des données. Et, souvent, ils en revendiquent l’extraterritorialité, autant pour les services proposés sur leur territoire que pour les données de leurs citoyens.
– Le durcissement de l’encadrement des infrastructures critiques : obligations de signalement d’incidents, audits externes requis, etc.
– La diversité des lois… et de leur interprétation
Les cadres dirigeants s’inquiètent en particulier de leur capacité à respecter les exigences de cybersécurité lorsqu’ils externalisent des actifs. Leurs réponses traduisent aussi un certain scepticisme vis-à-vis de la capacité des organisations à modéliser et à estimer le risque (voir ci-dessous).
Emporter l’adhésion du board est un autre défi – qui n’a rien de nouveau – pour les RSSI. Les cadres dirigeants eux-mêmes le reconnaissent. Près des deux tiers expliquent que leur organisation voit la sécurité de l’information comme une activité de réduction du risque plutôt que comme un levier de compétitivité par la confiance qu’elle fait naître.
L’étude révèle par ailleurs un décalage entre les intentions de collaborer avec l’écosystème et la réalité des pratiques. Un exemple : 79 % considèrent comme vital de s’engager avec clients et partenaires, mais 42 % l’appliquent.
Quand on leur demande de citer les trois principaux bénéfices d’une telle collaboration, les répondants citent d’abord :
– Mieux anticiper les cyberattaques (44 %)
– Mieux en recouvrer (41 %)
– Répondre plus efficacement aux changements réglementaires (39 %)
* Dont 42 % cadres supérieurs et/ou membres du conseil d’administration. 50 % de l’échantillon était localisé sur la plaque EMA (Europe, Moyen-Orient-Afrique). Toutes les organisations sondées réalisent au moins 100 M$ de C. A.
Illustration principale © École polytechnique / Paris / France via Visualhunt / CC BY-SA
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
