Cybersécurité : des investissements innovants encore insuffisants

La cybersécurité avance-t-elle aussi rapidement que la transformation digitale des entreprises ? C'est la question posée par le cabinet d'audit et de conseil Deloitte à 500 dirigeants impliqués en matière de cybersécurité (CISO, CSO, CTO , CIO ou CRO ) et travaillant dans des entreprises de plus de 500 millions de dollars de chiffre d'affaires, dans le cadre de la récente étude « The future of cyber - Survey 2019, Cyber everywhere, Succeed anywhere ».

Alors que toutes les entreprises multiplient les initiatives innovantes, notamment dans l'intelligence artificielle (IA) , l'analyse de la data, l'Internet des objets (IoT) ou encore la blockchain, seuls 3 % du budget cybersécurité est aujourd'hui consacré aux techniques disruptives . « Les moyens alloués ne sont pas suffisants mais, au-delà des investissements, c'est un sujet de compréhension de ces nouveaux enjeux. Beaucoup misent sur les nouvelles technologies digitales, mais continuent d'investir dans des outils de cybersécurité à l'ancienne, qui protègent uniquement le périmétrique, comme des pare-feux ou des antivirus. Le risque cyber n'est plus lié à l'informatique, mais au numérique : il faut faire évoluer les pratiques », prévient Imade Elbaraka, associé cyber risk advisory chez Deloitte.

Heureusement, la cybersécurité est désormais perçue comme un enjeu majeur aux plus hauts niveaux de l'entreprise . « Le sujet n'a jamais été aussi important pour les comités exécutifs et les conseils d'administration, qui font face à une pression sans précédent pour assurer, en même temps, la sécurité et le succès financier », indique Deloitte. Même en France, pourtant un peu en retard par rapport aux pays anglo-saxons. Toutefois, les organisations interrogées répartissent leurs investissements de façon quasi équivalente sur une large palette de sujets comme la sécurité des données ou des infrastructures, les solutions d'identité, la sécurité des applications, les réponses aux incidents, la résilience et les plans de continuité d'activité, ou encore la détection des menaces.

Gouvernance à l'aveugle

L'emploi du temps est tout aussi dispersé : les professionnels déclarent passer une grande partie de leur temps sur le monitoring des opérations de sécurité (13 %), mais aussi sur la cybergouvernance (12 %) et sur le sujet de la résilience (12 %). De fait, 15 % des répondants estiment qu'il est difficile de prioriser les activités cyber de l'entreprise et soulignent le « manque d'alignement du management concernant cette priorisation » (14 %). Ressort un sentiment de gouvernance à l'aveugle et de dispersion. « Si les dirigeants ont pris la mesure des impacts de la transformation digitale, un écart demeure entre ce qu'ils considèrent suffisant pour faire face à la menace cyber et ce qui est réellement nécessaire pour y répondre le plus efficacement possible au sein de l'entreprise », résume Deloitte.

Résultat : deux pratiques seraient à privilégier. « D'un point de vue organisationnel, il faut arrêter de centraliser la gestion du risque cyber sur le RSSI et plutôt implémenter des relais de cyber risque dans tous les métiers de l'entreprise - achats, supply chain, directions métiers, etc. Ces relais, qui doivent être sensibilisés au cyber risque sans être des experts de la cybersécurité, pourront remonter les risques métiers vers les responsables tels que le RSSI », explique Imade Elbaraka. Il y a ensuite un enjeu culturel. « Les entreprises doivent comprendre que la cybersécurité n'est pas un frein à la transformation digitale. Au contraire, c'est la sécurité qui permet d'accélérer et d'avancer sereinement vers le disruptif. Mais, pour cela, ancrer la sécurité en amont et dans toutes les initiatives de l'entreprise, l'incuber à tous les niveaux est nécessaire. Car la sécurité ne peut être pas une couche de peinture que l'on passe lorsque les travaux sont finis. », conclut l'expert.