©2021 IDC #FR533

Analyste :  Reynald Fléchaux / Septembre 2021

 

Pour télécharger l’étude, Clicker sur le lien suivant :

https://axcelpartners.co/wp-content/uploads/2022/04/7177_ebook-IDC_Cybersecurite_V8_72DPI.pdf


EXECUTIVE SUMMARY

L’implication des directions générales transforme l’approche des entreprises sur la cybersécurité

La sécurité numérique cantonnée à un rôle de direction technique, sans lien clair avec le Comex, semble bel et bien appartenir au passé. Les vagues d’attaques récentes ont contribué à modifier la perception de la cybersécurité. Il y a deux ans, près de six entreprises sur dix la considéraient comme un centre de coûts ou une direction technique. Une part qui est tombée à 31% aujourd’hui. Et seules 22% des organisations seront encore dans ce cas dans deux ans.

Ce changement de pied doit beaucoup à l’implication des directions générales sur le sujet et à la capacité offerte aux responsables de la cybersécurité de porter leurs messages au plus haut niveau de l’organisation. Soit via le DSI, qui, de son côté, a profité de la transformation numérique pour s’installer au Comex des entreprises. Soit directement, en certaines occasions : dans 75% des entreprises, le responsable de la cybersécurité est invité en Comex au minimum 2 à 3 fois par an. En sus, les directions générales sont également friandes d’échanges directs avec les spécialistes de la cybersécurité, pour mieux appréhender l’état de la menace.

En pratique, cette prise de conscience se traduit par une relativement bonne intégration des impératifs de sécurité dans les projets. Projets Legacy, mais aussi digitaux. Dans environ trois organisations sur quatre, tout projet doit systématiquement se conformer à un cadre de sécurité. Les entreprises françaises semblent également avoir progressé dans leur volonté de mieux former leurs salariés aux menaces, de mieux anticiper – en systématisant l’étude des risques en cybersécurité – et de mieux préparer les crises. Des besoins qui viennent étoffer les missions du responsable de la cybersécurité.

Conséquence : environ trois décideurs sur quatre en matière de sécurité informatique (DSI, directeurs cybersécurité, RSSI…) se disent confiants dans la capacité de leur DG et de leur Comex à bien anticiper les pertes financières qui découleraient d’une attaque réussie sur les systèmes d’information. C’est d’ailleurs cette évaluation, couplée à l’évolution de la menace, qui fait figure de facteur essentiel au moment de fixer le budget dédié à la cybersécurité. Et non un éventuel alignement sur l’évolution des budgets IT ou support.

Si les mentalités évoluent, beaucoup reste à faire. Par exemple, si près de 90% des entreprises ont mis en place des processus de gestion de crise, dans près d’un cas sur deux, ces mécanismes sont insuffisamment testés, voire pas du tout. Et les cellules de crise impliquent encore trop peu les directions juridique, de la communication ou des risques, alors que les crises de cybersécurité soulèvent des problématiques multiples nécessitant des expertises variées.

D’ailleurs, le panel d’entreprises interrogées n’obtient qu’une note moyenne de 47 sur 100 à l’indice CESIN-AXCEL Partners de maturité des dirigeants en matière de cybersécurité (lire le détail en page 12). Selon ce classement, seules 6% des entreprises interrogées peuvent être qualifiées de ‘cyber-ready’ (score supérieur à 75/100). Si cette matrice de maturité s’avère exigeante – tenant compte des impératifs posés par le niveau actuel de la menace, elle permet de mettre en évidence la marge de progression qui subsiste pour amener la plupart des entreprises françaises à un bon niveau de protection.


MÉTHODOLOGIE

Réalisée en partenariat avec le CESIN et AXCEL Partners, cette étude a été menée en France par IDC en février et mars 2021 auprès de 80 entreprises du secteur privé comptant au moins 1000 salariés en France.

Au sein de ces organisations, IDC a interrogé des RSSI ou CISO (58% du total) ainsi que des DSI, responsables informatiques ou de la production (42%).

Parmi les entreprises qui ont dévoilé leur niveau de dépenses, 38% consacrent entre 250 et 500 euros par salarié et par an à la cybersécurité. 36% dépensent moins tandis que 26% consacrent un investissement plus important au sujet.

Afin d’en assurer la représentativité, les résultats ont été redressés conformément aux statistiques de l’Insee sur le dénombrement des entreprises françaises, par taille et par secteur d’activité.

Par ailleurs, IDC a mené huit entretiens approfondis avec des directions générales afin de mieux comprendre leur perception de la cybersécurité et leur degré d’implication sur ce sujet.

LEXIQUE

CISO :    Chief Information Security officer, manager garantissant la sécurité des systèmes d’information et assurant la disponibilité, l’intégrité et la confidentialité des données.

RSSI :     Responsable Sécurité des Systèmes d’Information, traduction en français du CISO anglophone.

DSI :       Directeur ou Directrice des Systèmes d’Information, manager en charge de la stratégie informatique au service des objectifs métiers de son organisation.


RESPONSABLE CYBERSÉCURITÉ : L’ARTISAN DE L’EVALUATION PROACTIVE DES RISQUES

Un rôle de plus en plus prééminent dans l’organisation, le positionnement de la cybersécurité évolue positivement

Les cyberattaques que subissent les entreprises françaises, avec encore une recrudescence ces derniers mois, ont eu un impact profond sur l’organisation de la cybersécurité. La SSI (Sécurité des SI) cantonnée à un rôle de direction technique, sans lien clair avec le Comex, semble bel et bien devoir prochainement appartenir au passé. Une évolution logique compte tenu des enjeux économiques associés aux risques en matière de cybersécurité.

L’élément le plus frappant attestant de cette évolution se situe dans le positionnement de la SSI au sein des organisations. Interrogés sur ce point, les responsables cybersécurité et DSI participant à notre enquête témoignent de la rapide mutation de leur organisation sur ce sujet. 57% des décideurs interrogés considèrent que la cybersécurité était vue il y a deux ans soit comme un centre de coûts, soit comme une direction technique.

Actuellement, cette part est descendue à 31%. Et seules 22% des personnes interrogées considèrent que leur organisation sera encore dans cette configuration d’ici 24 mois.

A l’inverse, sur la même échelle de temps, la part des répondants qui considèrent que la cybersécurité est vue comme un contributeur clef à l’activité passe de 18, à 40%, puis à 54% ! De même, le RSSI est aujourd’hui davantage attendu sur l’identification des menaces (dans 69% des organisations), la conception du plan de cybersécurité (69%) ou l’analyse des risques liés aux projets (65%) que sur la pure implémentation de solutions techniques (50%).

Ce basculement massif est appuyé par la manière dont les directions générales étudient les priorités en matière de cybersécurité : pour 74% des RSSI et DSI interrogés, les DG prennent en compte ces dossiers de façon proactive, sur la base de l’étude des risques qu’ils transmettent. Dans seulement une organisation sur quatre, ces priorités ne sont passées en revue que suite à une attaque sur les systèmes d’information ou à un événement externe (comme une cyberattaque médiatisée).


 » La sécurité s’apparente à la qualité : elle ne se négocie pas »

Groupe Atlantic

Pierre-Louis François, président du directoire Groupe Atlantic

(spécialiste des appareils de production de chauffage, 10 000 pers. env. dont 4 000 à 5 000 en France)

« Nous sommes en alerte depuis 4 ans et l’attaque Wannacry qui avait durement touché Saint -Gobain, et au cours de laquelle nous n’avons été affecté qu’à la marge. Depuis, nous avons bien sûr subi d’autres attaques. Et, en décembre 2020, une attaque par rançongiciel s’est propagé d’un système périphérique au système central. Nous avons du éteindre tout ce qui était connecté à ce dernier et avons été bloqués pendant 6 semaines. Pour la société, cet événement a constitué un gros traumatisme. Suite à cette attaque, nous nous sommes réorganisés. Auparavant, la cybersécurité dépendait uniquement du directeur informatique. Même s’il a fourni un travail exceptionnel durant la crise, cet épisode nous a montré que la cybersécurité était bien l’affaire de tous. Nous avons donc demandé au directeur de la qualité de prendre en main le plan de continuité d’activités ainsi que la maintenance des outils IT disséminés sur les sites partout dans le monde (la DSI étant, elle, localisée en France). La cybersécurité est donc pilotée par deux têtes, qui se partagent les deux fonctions clefs. Une direction experte est accompagnée par une cellule qui s’assure que les procédures sont bien respectées dans l’ensemble du groupe. Et toutes deux sont présentes au sein de l’équivalent du Comex. La cybersécurité s’apparente à la qualité : elle ne se négocie pas. Sur le long terme, elles sont toutes deux incontournables pour assurer le développement de notre activité. Atlantic étant une société rentable, nous ne fermerons pas le robinet aux investissements si ceux-ci sont nécessaires. Ma conviction, c’est qu’il faut rester paranoïaque. C’est d’ailleurs la fonction que doit avoir un tableau de bord de la cybersécurité : écouter les signaux faibles et inciter à la vigilance. »


Une présence au Comex assurée via la direction de rattachement

Notre étude confirme la proximité naturelle entre la SSI et la DSI. Dans 68% des cas, le RSSI est rattaché hiérarchiquement à la DSI (loin devant le rattachement à la direction des risques ou à la direction générale, qui représentent chacun 10% des réponses). La DSI est également le rattachement fonctionnel le plus souvent cité par les décideurs interrogés. Via sa direction de rattachement, le RSSI est présent au Comex dans plus de 70% des cas, une garantie pour faire passer ses messages de prévention au bon niveau hiérarchique.

Mais, au-delà de ce lien indirect, nombre d’organisations invitent également le RSSI à s’exprimer directement au Comex. Plus ou moins régulièrement. Dans 75% des organisations, cette présence est assurée au minimum 2 à 3 fois par an. Dans seulement 8% des organisations interrogées, le RSSI n’est invité au Comex qu’en cas d’attaque sur les systèmes d’information. Des chiffres qui montrent, là encore, que la plupart des organisations hexagonales sont entrées dans une démarche proactive en matière de cybersécurité, et ne se contentent plus de réagir aux événements extérieurs.

Cela ne signifie pas, pourtant, que le RSSI ne ferait pas figure de fusible en cas de cyberattaque majeure. 47% des décideurs interrogés estiment que le RSSI de leur organisation serait alors vraisemblablement menacé, en particulier si l’attaque se traduit par des pertes financières importantes. Une part encore significative qui témoigne d’une vision assez passéiste de la cybersécurité, dans laquelle le RSSI est vu comme un rempart devant repousser toutes les cyberattaques, quelle que soit l’implication de l’organisation dans son ensemble sur le sujet. Mais, à l’inverse, on peut noter que, pour plus d’un répondant à notre enquête sur deux, une cyberattaque majeure contre les SI ne coûterait pas son poste au RSSI, « car la direction générale est consciente des impacts d’une attaque informatique majeure ».

L’influence réelle du RSSI sur les projets, y compris les projets digitaux

En pratique, cette influence grandissante se traduit par la prise en compte de la cybersécurité dans les projets IT. Surtout, de façon notable, les pratiques sont quasi alignées entre les projets classiques et les projets digitaux, alors que ces derniers avaient pu ces dernières années s’affranchir des bonnes pratiques impulsées par la DSI. Dans environ 3 organisations sur 4, tout projet, quelle que soit sa nature, doit systématiquement se conformer à un cadre de sécurité.

En dehors de ces lignes directrices, le RSSI est aussi sollicité, dans plus d’une entreprise sur deux, pour donner ses recommandations et observations en amont des projets, pour valider la sécurité en cours de développement et pour auditer la sécurité des applications une fois celles-ci en production. Même si ces chiffres témoignent d’un encadrement grandissant des nouveaux projets, il reste une frange d’entreprises au sein desquelles les projets ne suivent pas systématiquement le cadre de sécurité mis en place par la RSSI (23% pour les projets digitaux, 16% pour les projets Legacy), sans oublier les quelques cas où n’existe aucune obligation de se plier à une quelconque liste de bonnes pratiques (6% pour les projets digitaux, 4% pour le Legacy).


Seule une minorité d’entreprises ne se conforment pas systématiquement à un cadre de sécurité pour leurs projets Legacy et digitaux.

Pdg d’un fournisseur de services B2B,

750 pers. en France

« Nous n’avons aujourd’hui pas d’outils d’évaluation du risque en cybersécurité. Les choses vont toutefois s’améliorer car nous allons nommer un RSSI dans les mois à venir. Cette formalisation nous aidera a mieux évaluer le risque auquel nous faisons face. Quand il sera nommé, on peut imaginer qu’il sera invité à s’exprimer au Comex une fois par semestre. En parallèle, le budget cybersécurité a fortement augmenté en 2021. D’ailleurs, c’est la première année où nous allons définir un budget spécifiquement alloué à la cybersécurité. Auparavant, ces investissements étaient noyés dans les budgets de fonctionnement. »


LE RISQUE EN CYBERSÉCURITÉ MIEUX INTEGRÉ, LA RÉALITÉ DE LA MENACE MIEUX PERCUE

Une prise de conscience de la part de DG

Comme le laissent entendre les résultats précédents, cette évolution de la place accordée à la cybersécurité doit beaucoup à une forme de prise de conscience de l’importance de cet enjeu par les directions générales. Une prise de conscience parfois payée au prix fort, comme le montrent certains témoignages que nous avons recueillis. Ces expériences vécues des cyberattaques et des crises qui s’ensuivent poussent ensuite les directions générales à revoir l’organisation de la cybersécurité et, surtout, à en faire un sujet plus transversal, impliquant bien davantage les différentes parties prenantes de l’entreprise.

L’autre évolution, qu’on peut là aussi associer au vécu des crises de cybersécurité, c’est la volonté d’anticiper. Dans plus de 8 organisations sur 10, les répondants indiquent être totalement d’accord ou plutôt d’accord pour dire que le risque en cybersécurité est systématiquement pris en compte dans l’étude des risques par le comité de direction et la direction générale. Cette part tombe à 70% pour la prise en compte de cette catégorie de risques par les conseils d’administration, une proportion qui reste malgré tout très significative.


Xavier Astolfi, DGA de Cristal Union

(production de sucre, d’alcool et d’éthanol, 1750 pers.)

« L’organisation a conscience que le sujet est sensible, car une attaque peut provoquer un arrêt de l’activité ou de production. Notre ERP gérant les ventes et les expéditions est, en effet, connecté et nos usines sont très automatisées, donc potentiellement exposées. La cybersécurité est d’ailleurs vue comme une priorité depuis environ 5 ans. Dans notre métier, chaque jour de production perdu se traduit par des millions d’euros envolés. Toute entreprise doit partir du principe qu’elle sera victime un jour d’une cyberattaque et que, ce jour-là, elle devra avoir tout mis en place pour limiter l’impact de l’attaque et compliquer la tâche des assaillants. »


La DG en interactions fréquentes avec le RSSI, un tableau de bord pour suivre la cybersécurité

Au-delà de la présence plus ou moins épisodique du RSSI au Comex, les directions générales sont également demandeuses d’échanges directs. Dans 40% des organisations interrogées, ces échanges sont au minimum mensuels. Bien sûr, ces interactions permettent à la DG d’effectuer un bilan d’étape de l’avancée des projets techniques en cours. Mais, au-delà de cet aspect opérationnel, les directions générales profitent également de ces discussions pour prendre la température quant à l’état de la menace. 96% des répondants à notre enquête indiquent ainsi que les risques en cybersécurité existants sont systématiquement ou parfois évoqués lors de ces réunions. Et 88% des RSSI et DSI interrogés indiquent que les cyberattaques faisant l’actualité figurent également au menu de ces échanges.

Cela ne signifie pas que les attentes fondamentales des DG vis-à-vis de leurs RSSI aient changé. Ces derniers sont bien toujours attendus sur le maintien d’un niveau de protection maximale contre les cyberattaques et sur la protection des données sensibles de l’organisation. Mais d’autres attentes, témoignant d’un niveau de maturité grandissant sur le sujet, arrivent également très haut, quelques points seulement derrière le duo de tête. En particulier, une gestion des risques de cybersécurité au plus près des besoins de l’entreprise, mais aussi la mise en place de capacités de gestion de crise ou la formation des salariés au sujet.

Pour structurer les échanges entre la RSSI et la direction générale et/ou le Comex, deux-tiers des organisations interrogées ont mis en place un tableau de bord de la cybersécurité. Pour les RSSI et DSI interrogés, les informations essentielles que doit renfermer cet outil portent avant tout sur l’évolution de l’exposition au risque de l’entreprise, jugée assez ou très importante par 98% des répondants. Le tableau de bord doit aussi servir à communiquer des données techniques, comme le nombre d’attaques repoussées (81%), à faire le point sur l’avancée des projets internes (81%) ou encore à souligner l’alignement de la cybersécurité sur la stratégie de l’entreprise (65%). En revanche, les RSSI interrogés jugent cet outil peu pertinent pour échanger sur le niveau de consommation budgétaire (61% considèrent cet aspect peu ou pas important dans leur tableau de bord). Même si 80% des répondants reconnaissent que la maîtrise des dépenses est une attente assez ou très importante de leur direction générale.

L’évaluation du risque financier associé aux attaques s’affine

Selon les répondants interrogés, le risque financier associé aux cyberattaques est désormais plutôt bien évalué au sein de leur organisation. Interrogés sur la faculté de leur DG et de leur Comex à bien anticiper les pertes financières qui découleraient d’une attaque réussie sur les systèmes d’information, 75% des DSI et RSSI se disent tout à fait ou plutôt confiants dans la pertinence de cette évaluation. Seuls 5% des répondants expliquent, à l’inverse, ne pas être d’accord du tout pour affirmer que cette évaluation est correcte.

Les responsables interrogés estiment notamment que les pertes engendrées par les arrêts ou pertes d’activité sont bien prises en compte (à 73%). Il en va de même des impacts en matière de dégradation de l’image de marque (69%), d’arrêt ou du gel de projets en cours (61%), d’investissements en cybersécurité à consentir en urgence (60%) ou d’amendes associées aux pertes de données (60%). À l’inverse, les risques financiers associés aux pertes de propriété intellectuelle ou à la dégradation de la confiance des partenaires, plus diffus, sont moins bien pris en compte.

Au-delà des relations qu’entretiennent DG et RSSI, les actions de sensibilisation à la cybersécurité menée auprès de la cible spécifique des dirigeants ont, probablement, également joué un rôle dans cette maturité grandissante. Dans près de 6 entreprises sur 10, des tests d’hameçonnage ciblant spécifiquement la direction sont réalisés.


Rien n’est pire qu’une démarche cybersécurité où tout repose sur une seule personne

Groupe Fives

Denis Mercier, DGA du groupe Fives

(ingénierie industrielle, 8 000 pers. dans le monde)

« Nous avons été victimes d’une cyberattaque en 2016, même si cette attaque a été circonscrite à une unique filiale située aux États-Unis. Trois jours de production et quelques données ont été perdues. Mais on subit des attaques tous les jours, le plus souvent sans conséquences ou avec des impacts minimes. Nous sommes aussi la cible de fraudes au président, avant tout basées sur une ingénierie sociale poussée. Une d’entre elles a visé une petite filiale au moment du remplacement du DAF et s’est notamment basée sur une imitation de voix. Nous avons également été la cible d’une tentative d’espionnage par une entité étrangère. N’oublions pas que Fives travaille pour des clients importants et stratégiques, le groupe peut donc être ciblé afin d’atteindre les acteurs de cette industrie par rebond.

Le développement de nos propres logiciels reste un sujet de préoccupation. En 2020, lorsque nous avons mené une étude des risques de cybersécurité couplée au développement de notre feuille de route sur le sujet, nous avions interrogé les présidents des différentes divisions. Ce travail a permis de révéler qu’ils n’avaient pas pleinement perçu l’enjeu associé à ces développements ; un enjeu que l’on pourrait résumer ainsi : ne pas devenir un cheval de Troie permettant d’attaquer de grands clients. Ce scénario constitue réellement mon souci n°1, car on parle ici potentiellement d’attaques soutenues par des Etats, donc d’assaillants disposant de moyens très importants.

Nous avons choisi de traiter le sujet de la sécurisation des projets innovants par une approche collective, via un sous-comité cybersécurité qui dépend du comité numérique. Cet organe implique des responsables des différentes divisions, y compris CortX (filiale servant de hub d’expertise pour les développements numériques à toutes les divisions du groupe), ainsi que la

DSI. De mon point de vue, rien n’est pire qu’une démarche cybersécurité où tout repose sur une seule personne. »


BUDGET ET PREPARATION DE CRISES : DEUX REVELATEURS D’UNE MATURITE GRANDISSANTE

L’évolution des budgets cybersécurité n’est plus calée sur celle de l’IT ou des budgets support. Preuve d’une évolution des mentalités.

Comment les budgets en cybersécurité sont arbitrés

S’il fallait mettre en lumière un sujet montrant l’évolution des mentalités sur la question, ce serait probablement celui de la préparation et de l’arbitrage des budgets dédiés à la cybersécurité. Interrogés sur les critères les plus importants dans l’établissement du budget cybersécurité, les RSSI et DSI interrogés mettent en avant l’évaluation du risque financier en cas d’attaque ainsi que l’évolution de la menace. Plus d’un répondant sur deux juge chacun de ces éléments très important.

A l’inverse, les items relevant davantage d’une gestion standard des budgets en entreprise sont eux largement délaissés. C’est en particulier le cas de l’alignement sur l’évolution des budgets support (vu comme très important par seulement 12% des répondants), d’un comparatif avec les dépenses de sociétés comparables (15%) ou même de l’alignement sur les budgets de la DSI (22%).

Autrement dit, une partie des organisations françaises a intégré le fait que le niveau des dépenses en cybersécurité ne peut simplement plus se résumer à celui d’un simple service support. Les enjeux associés à cette question imposent des décisions budgétaires spécifiques.

Dans presque 9 organisations sur 10, le budget cybersécurité est d’ailleurs discuté directement en comité de direction ou en comité exécutif. Dans 45% des entreprises, c’est même le RSSI qui vient systématiquement ou parfois défendre son budget devant ces instances (dans les autres cas, c’est la direction de rattachement qui prend en charge ce volet).

Confirmant les chiffres de marché d’IDC (le cabinet prévoit une croissance annuelle moyenne de 9,4% pour les dépenses en sécurité des entreprises françaises de plus de 500 personnes entre 2020 et 2024), la plupart des répondants à notre enquête témoignent de l’augmentation des budgets cybersécurité dans leur organisation. Dans près d’un cas sur deux, en 2021, cette hausse est ainsi supérieure à 5% (elle dépasse même les 10% dans 26% des entreprises françaises). Malgré le contexte de la crise sanitaire, seules 8% des organisations voient leur budget 2021 reculer.


Dans près d’une entreprise sur deux, le budget cybersécurité en 2021 progresse de plus 5% par rapport à l’an dernier.


Préparation de crise : des progrès, mais tout n’est pas parfait

Un autre indice de la maturité grandissante des organisations face au risque en cybersécurité tient à la préparation de crise. En la matière, si tout est loin d’être parfait, on note les efforts des organisations hexagonales. Preuve que les RSSI, mais surtout les directions générales, intègrent peu à peu le fait qu’elles devront un jour faire face à une attaque réussie contre leurs systèmes. Et donc gérer la situation qui en résultera. Pour s’y préparer, 35% des organisations mènent des exercices de gestion de crise impliquant la direction générale et/ou le Comex. Des entraînements qui demandent un investissement en temps des dirigeants… ce que tout les RSSI interrogés ne parviennent pas à obtenir. Près d’un RSSI ou DSI interrogé sur deux reconnaît que leurs dirigeants ‘sèchent’ systématiquement ou parfois ces exercices.


Michel Koutchouk, directeur général, et Cédric Lefevre, DSI d’Infotel

(ESN, 2500 pers.)

« Faut-il bâtir une ligne Maginot, ce qui est l’esprit de la norme ISO 27001* ? C’est nécessaire, mais pas suffisant. Vous avez également besoin de réactivité, de commandos composés de personnes compétentes et motivées. Sans oublier la veille permanente sur les failles zero day* ou encore la surveillance des applications mises en ligne.

Enfin, il ne faut pas négliger le facteur humain. Chez Infotel, les accompagnateurs des projets ont ainsi pour rôle de sensibiliser les développeurs aux questions de cybersécurité, notamment lors des revues de projets. On constate, en effet, que les jeunes diplômés restent insuffisamment formés sur ces questions. »

*Lexique :

ISO 27001 :  norme internationale de sécurité des systèmes d’information.

Zero day :     vulnérabilité informatique exploitée par des pirates avant d’être connue de la communauté de la sécurité informatique et avant publication d’un correctif.


Que ces exercices existent ou pas et qu’ils parviennent ou non à mobiliser la direction générale, 86% des organisations interrogées ont mis en place des processus de gestion de crise. Dans près d’un cas sur deux, les répondants reconnaissent toutefois que ces mécanismes sont insuffisamment testés, voire pas du tout. Notons par ailleurs que si la DSI et la direction générale sont la plupart du temps mobilisées en cas de déclenchement d’une cellule de crise, les directions juridiques, de la communication et des risques ne seraient, elles, impliquées que dans environ 40% des entreprises, alors que les crises en cybersécurité soulèvent des problématiques multiples nécessitant des expertises variées.

Si le verre n’est donc qu’à moitié plein, il est intéressant de constater que les RSSI et DSI interrogés font bien de la capacité de gestion de crise le premier bénéfice d’une stratégie de cybersécurité bien pensée et exécutée. 64% des répondants indiquent qu’il s’agit là d’un bénéfice très important. 20 points devant les items qui arrivent ensuite (confiance des partenaires, confiance des clients). Preuve que les directions de la cybersécurité ont inscrit l’évolution de la maturité de leur organisation en matière de gestion de crise tout en haut de leurs priorités.

BILAN DE LA MATURITÉ DES DIRIGEANTS EN CYBERSÉCURITÉ

La cybersécurité est l’affaire de tous. Logiquement, elle est, à plusieurs titres, celle de la direction générale.

Nomination des responsables, attribution des moyens financiers et humains, initiation de l’élan nécessaire à l’adhésion de tous, identification des priorités afin d’éviter une défense tous azimuts par trop coûteuse, participation aux exercices de crise, alignement de l’avancement de la transformation digitale avec la cybersécurité : autant de tâches qui sont sous sa responsabilité directe.

L’engagement de la DG ou de son représentant auprès du responsable de la cybersécurité, qu’il soit interne ou externe, est donc essentiel à la mise en œuvre des actions nécessaires à la cyber protection et à leur efficacité.

Sans cette implication, pas de budget suffisant, pas d’adhésion des collaborateurs, pas d’arbitrages pertinents, pas de mesures d’alignement nécessaires à l’utilisation raisonnée des ressources (humaines et matérielles) et pas de déploiement maitrisé du numérique.

Cet engament ne peut être simplement déclaratif. Pour une activité aussi cruciale que la cybersécurité, qui concerne tout autant des aspects humains et organisationnels transverses que des éléments matériels et techniques, il faut qu’il se traduise en actes. C’est précisément ces actes que nous avons voulu mesurer avec l’indice CESIN-AXCEL Partners de maturité cyber des dirigeants, réalisé par IDC.

 

La matrice IDC

Pour caractériser la maturité des dirigeants en cybersécurité, IDC a bâti une matrice, portant sur quatre axes d’analyse : la qualité de la relation DG / responsable cybersécurité, le pilotage de la cybersécurité, les actions de sensibilisation à la cybersécurité et la capacité de réactions aux attaques. Au total, plus de 60 critères rattachés à ces quatre axes permettent d’évaluer la maturité de la DG en matière de cybersécurité, sur un score allant de 0 à 100.

Selon ces critères, 11% des entreprises interrogées affichent un faible niveau de maturité de leur DG sur le sujet (note globale inférieure ou égale à 25 sur

100). Dans 44% des organisations, cette maturité est modérée (note de 25 à 50), tandis que 39% d’entre elles font mieux, et présentent un niveau élevé (note entre 50 et 75). Enfin, une faible proportion d’entreprises (6%) atteignent une maturité compatible avec un haut niveau de digitalisation (soit plus de 75 points). Notons que le score le plus élevé (84,4) laisse encore une marge d’amélioration appréciable à l’entreprise concernée.


45% des entreprises interrogées obtiennent plus que la moyenne (50/100) au score de maturité CESIN-AXCEL Partners.


Dans le détail, c’est sur le pilotage de la cybersécurité et sur les actions de sensibilisation que les entreprises françaises apparaissent le plus à la peine. Concernant le premier domaine, aucune entreprise interrogée n’obtient un score correspondant au niveau ‘cyber-ready’, alors que 24% du panel affiche une maturité faible sur ce sujet. Mais c’est en matière d’actions de sensibilisation que la part d’entreprises affichant un score faible est la plus importante (38%), phénomène qui s’explique notamment par les 11% d’organisations qui obtiennent un score nul sur ce volet. En revanche, les domaines de la qualité de la relation entre DG et responsable cybersécurité et de la réaction aux cyberattaques enregistrent de plus importantes proportions d’entreprises ‘cyber-ready’ (21% dans chaque cas). Signalons que 14% des entreprises interrogées présentent un niveau de maturité maximal en matière de préparation aux cyberattaques (glanant donc l’ensemble des points attribués à ce domaine).

Les facteurs qui influencent la maturité des dirigeants en cybersécurité

Plusieurs facteurs ont une influence certaine sur la maturité de la DG en cybersécurité au sein des entreprises interrogées. Le premier d’entre eux tient au profil des répondants eux-mêmes. Les responsables IT (DSI, directeurs IT, responsables informatiques ou infrastructures) ont souvent une vision moins positive de cette maturité que leurs collègues RSSI. La note moyenne attribuée par les premiers (43/100) est ainsi inférieure de 8 points à celle calculée sur les profils dédiés à la cybersécurité. Autrement dit, les DSI sont plus critiques que les

RSSI sur la maturité de leur DG en matière de cybersécurité.

Si ce facteur a une influence, celle-ci est toutefois plus limitée que le rôle joué par la présence au Comex de la direction de rattachement du RSSI. Ceux dont la direction de rattachement est directement représentée au comité de direction attribuent à leur direction générale un score de maturité de 12,5 points supérieur à celui de leurs homologues dont ce n’est pas le cas. L’attitude de l’organisation vis-à-vis des priorités en cybersécurité est également centrale. Les organisations au sein desquelles le Comex ou la DG étudie celles-ci de façon proactive, sur la base d’une étude des risques fournie par la RSSI, obtiennent un score significativement plus élevé que celles où ces priorités sont abordées en réaction aux événements.


Les entreprises dont le RSSI est représenté au Comex par sa direction de rattachement affichent un score moyen de 12,5 points supérieur aux autres.


Vice-président, société dans le tourisme

(env. 10 000 pers. en direct ou sous franchise)

« Le sujet devrait être traité de façon plus transversale et associer d’autres directions, comme le juridique. La cybersécurité pourrait alors devenir un sujet de Comex. A l’heure actuelle, il est laissé entre les mains des seuls sachants. Par exemple, les décisions budgétaires en matière de cybersécurité sont laissées à la main de la DSI, sans que ces décisions soient réellement challengées. »


Avec un écart là encore très significatif (+12,5 points). La capacité du RSSI à défendre directement son budget devant la DG ou le Comex, au moins en certaines occasions, est un autre facteur important de maturité de la DG. L’écart entre les entreprises qui fonctionnent selon ce principe et les autres est toutefois plus limité (6,7 points).

En revanche, en tant que tel, la croissance des budgets en cybersécurité n’est pas révélatrice d’un niveau de maturité supérieur des directions générales. Les organisations qui affichent un budget 2021 en forte croissance (supérieure à 5%) n’obtiennent ainsi en moyenne que 3,8 points de plus que celles chez qui ce poste de dépense est en légère progression, stable ou en décroissance. Ce résultat s’explique par le fait que la population des entreprises qui voient leur budget cybersécurité progresser rapidement est constituée presque exclusivement d’organisations obtenant un score autour de la moyenne à notre indice. Autrement dit, très souvent des organisations qui sont en phase d’investissement pour faire progresser leur maturité sur le sujet. Tandis que les entreprises dont les scores sont les plus faibles ou, au contraire, les plus élevés affichent souvent des budgets 2021 plus stables. Soit parce qu’elles n’ont pas encore conscience de l’impact des risques en cybersécurité. Soit parce que, au contraire, elles sont très avancées en la matière et y consacrent déjà des moyens importants.


Thierry Truche, Chief product officer de Kyriba

(éditeur de logiciels de trésorerie en mode Saas, 840 pers. dans le monde)

« Des données financières et des paiements hautement confidentiels transitent par notre plateforme. De ce fait, la cybersécurité est une pierre angulaire de notre démarche et notre RSSI est membre du Comex et reporte directement au Pdg sans intermédiaire. Il intervient aussi bien dans les demandes d’évolution d’outils et de réalisation d’audits de sécurité, que dans les communications de sensibilisation au risque en cybersécurité des employés de Kyriba.

Le RSSI peut intervenir sur tous les projets et ses prérogatives lui permettent de les stopper.

Quand un doute subsiste, le projet est arrêté par défaut. La culture interne est celle du zéro risque en terme de sécurité. Par ailleurs, dans les projets qui se lancent, le RSSI a la responsabilité de sujets comme la continuité d’activité, l’auditabilité ou la localisation des données. Sans oublier la question des nouveaux outils de cybersécurité qui peuvent s’avérer indispensables pour accompagner un lancement de produit, une évolution… Notre principe est clair : à chaque fois qu’un besoin est identifié, nous investissons sans que le coût soit un obstacle. Nous exploitons ainsi toutes les nouvelles technologies qui nous permettent d’anticiper, même lorsqu’il ne s’agit pas d’une exigence. Il s’agit d’un élément différenciateur de l’offre avec lequel nous ne transigeons pas.

Tant le Comex que le conseil d’administration de Kyriba reçoivent des séries de KPIs et de métriques sur la cybersécurité, basées sur des données issues de notre centre opérationnel et dudépartement conformité. Ces indicateurs sont par ailleurs associés à différents niveaux d’alerte.

Nous exploitons également un framework de gestion des risques. Enfin, en cas de menace potentielle, l’information remonte immédiatement au Pdg, sans filtre. »


LE BILAN DE L’ACTION DES RSSI

Globalement, 57% des organisations estiment que les investissements consentis ont permis de diminuer l’exposition au risque cyber de leur entreprise au cours des 24 derniers mois. Et ce, même en tenant compte de l’évolution de la menace (qui, indubitablement, se renforce). Seuls 5% des répondants estiment que le bilan est négatif. Ce résultat témoigne bien des progrès accomplis par une majorité des entreprises françaises, parfois sous la pression d’attaques qui ont ébranlé leur activité, comme en témoignent certaines directions générales que nous avons interrogées.

Si le bilan est donc positif, plusieurs points d’amélioration se détachent. Le premier d’entre eux tient à la préparation de crise. Dans 54% des entreprises interrogées, les procédures de gestion de crise sont soit inexistantes, soit insuffisamment ou pas du tout testées. Or, il s’agit là d’un point crucial pour progresser en maturité sur le sujet, l’attitude consistant à imaginer que l’organisation ne sera jamais victime d’une cyberattaque, donc à ne pas anticiper la crise, témoigne d’une approche datée de la cybersécurité.


L’attitude consistant à penser que l’entreprise ne sera  jamais victime d’une attaque témoigne d’une vision datée de la cyber.


D’ailleurs, les entreprises qui préparent les crises et testent régulièrement les procédures mises en place obtiennent un score de maturité supérieur de 16,8 points aux autres, écart qui dépasse largement les points que leur apporte cette question spécifique. D’autre part, la plupart des entreprises ne prennent pas encore suffisamment en compte tous les aspects des crises de cybersécurité, comme en témoigne la présence encore minoritaire des directions juridique ou de la communication aux cellules de crise.

L’autre axe de progrès tient probablement à la contribution de la cybersécurité à la résilience de l’entreprise. Deux préoccupations très souvent séparées dans les organisations, mais que la multiplication des crises de cybersécurité pousse à rapprocher. 89% des répondants à notre enquête estiment que la résilience de l’entreprise durant les crises est un bénéfice très ou assez important d’une stratégie de cybersécurité bien pensée et exécutée. Davantage que la capacité de gestion de crise, même si cet item arrive en tête parmi les seuls bénéfices considérés comme très importants.


L’AVIS DU CESIN / ALAIN BOUILLÉ : « LES EFFORTS DES RSSI PORTENT LEURS FRUITS »

Pour le délégué général du Cesin, l’étude témoigne d’une maturité grandissante des entreprises françaises sur la question de la cybersécurité. Le résultat d’un repositionnement du RSSI.

Q : L’étude IDC montre une évolution positive de la maturité des entreprises françaises. Vous attendiez-vous à ces résultats ?

La tendance est clairement à la prise de conscience des entreprises et de leurs dirigeants. De façon plus ou moins forcée, car dans certaines organisations, le changement de pied intervient après une attaque ayant causé des dégâts. L’ampleur du mouvement que souligne l’étude fait néanmoins plaisir à voir : c’est le fruit des efforts des RSSI qui, depuis des années, tentent de faire remonter le sujet au niveau des directions générales.

Q : Sur quels terrains les entreprises doivent-elles encore progresser pour mieux se préparer à la montée des menaces à laquelle nous assistons actuellement ?

Sur deux points essentiels. D’abord, sur une meilleure compréhension de leur cyberdépendance : de qui l’entreprise dépend elle en termes de chaînes de fournisseurs et de partenaires ? Ensuite, sur la capacité à détecter, réagir et reconstruire. Détecter au plus vite une cyberattaque, c’est ce qui fait aujourd’hui la différence et permet d’en limiter les conséquences.

Q : Quel rôle joue la relation entre la direction générale et le RSSI dans la progression de la maturité des organisations ?

L’essentiel pour le RSSI consiste à établir le dialogue. Rien n’est pire qu’une DG qui serait dans l’ignorance de ces sujets. La discussion se résumerait alors aux questions budgétaires. Pour dépasser ce stade, le RSSI doit se mettre au niveau des enjeux de sa direction générale.

Auparavant, la communauté des professionnels de la cybersécurité avait un discours trop technique, mais elle a changé. Parmi les profils qui occupent les postes de RSSI aujourd’hui, nombreux sont ceux qui ont su dialoguer avec leur DG tout en comprenant les enjeux techniques, car il reste impossible d’être un professionnel de la cybersécurité sans cet aspect. C’est un jeu d’équilibriste, et ce n’est pas donné à tout le monde.

Q : A vos yeux, les RSSI sont-ils bien positionnés dans les organisations pour assurer cette progression ?

Le bon positionnement, c’est déjà d’être rattaché à un membre du Comex, pour n’avoir qu’une seule porte à pousser pour faire remonter un sujet au plus haut niveau. Ce membre du Comex doit-il être le DSI ? Ce choix présente l’avantage de placer le RSSI au cœur de l’action, mais peut comporter des travers, car le DSI sera forcément juge et partie sur de nombreux sujets.

L’alternative consiste à placer le RSSI auprès de la direction des risques. Le RSSI gagne alors en indépendance par rapport au DSI, mais il perd l’accès aux projets digitaux.

Il aura alors besoin d’un correspondant au sein de la DSI, qui sera chargé des questions opérationnelles.

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association créée en 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l’information et du numérique. Le CESIN compte plus de 700 membres issus de tous secteurs d’activité, dont de nombreuses entreprises du CAC40 et du SBF120.


L’AVIS D’AXCEL PARTNERS / PATRICK CHENEBAUX : « ALIGNER L’INNOVATION DIGITALE AVEC LA CYBERSÉCURITÉ »

Pour le Partner du cabinet, si l’étude témoigne de progrès significatifs dans la maturité des organisations françaises en cybersécurité, beaucoup reste à faire. Notamment dans la sécurisation des produits ou services digitaux et la sensibilisation continue des collaborateurs.

Q : Pourquoi la direction générale joue-t-elle un rôle essentiel dans l’amélioration de la maturité des organisations en matière de cybersécurité ?

L’intervention de la direction générale est essentielle à plusieurs niveaux. D’abord, c’est à elle de bâtir l’organisation et de définir les responsabilités en matière de cybersécurité, de résilience et de gestion de crise, trois sujets très proches les uns des autres. Ensuite, chaque entreprise doit adapter la rapidité de ses développements digitaux en fonction de son niveau de cybersécurité, sur la base d’une analyse opportunités/risques. Hormis dans les sociétés technologiques, la plupart des DG n’ont pas encore le bagage technique indispensable pour réaliser cette évaluation – car la cybersécurité reste un sujet très technique -, elles peuvent donc le déléguer à un tiers, interne ou externe. Enfin, quand la DG s’empare du sujet, cela modifie le ressenti en interne : les investissements avancent plus rapidement, les salariés sont davantage mobilisés, etc.

Q : L’étude IDC témoigne d’une certaine prise de conscience de la part des directions des entreprises. Vous attendiez-vous à ces résultats ? Et quels vous paraissent être encore les points d’amélioration ?

Avec les épisodes récents – confinement, vague de ransomwares -, je ne suis pas étonné de la mobilisation des directions générales. Mais on peut relever que beaucoup d’initiatives en matière de sécurisation ont été réalisées de façon empirique et mériteraient d’être réexaminées, car elles mobilisent déjà beaucoup de ressources. Pour ne rien arranger, la cybersécurité concerne de plus en plus directement les produits ou services commercialisés par l’entreprise. Le « périmètre » à défendre s’étend de façon exponentielle et il sera très vite impossible de protéger tout contre tout. Des choix devront être faits avec leurs impacts business, financiers, techniques et humains. L’exercice ne sera pas facile et nécessitera souvent un regard « extérieur » global, pour faire converger l’organisation sur une solution acceptée de tous. Enfin, avec le déploiement de l’IA, les entreprises vont se reposer sur des systèmes de plus en plus automatisés. Là encore, la nécessité de vérifier qu’ils sont sous contrôle et effectuent bien les opérations prévues va rapidement se faire sentir. Même en admettant que la problématique des ransomwares vienne à s’éteindre, les questions relatives à la cybersécurité ne sont pas prêtes de se tarir, les dirigeants doivent s’y préparer et se faire aider.

Q : Les directions générales associent souvent cybersécurité et résilience de l’entreprise, deux fonctions fréquemment séparées dans les organisations. Comment le RSSI peut-il davantage accompagner cette attente ?

Les PCA et PRA (respectivement, plan de continuité d’activité et plan de reprise d’activité) sont de bons leviers pour identifier clairement les informations essentielles à l’entreprise. Or, cet état des lieux s’avère aussi capital pour le RSSI qui, avant de mettre en œuvre des moyens de protection, doit appréhender quels sont les joyaux de la couronne au sein de son organisation. Ce simple constat montre qu’il y a un intérêt à mettre en place un cercle vertueux, associant cybersécurité, résilience et, éventuellement, conformité au RGPD. Les événements récents montrent qu’aucun mur n’est infranchissable ; préparer la reprise après une attaque est devenu obligatoire.

AXCEL Partners, cabinet de management de transition, avec ses 15 associés dans 5 pays, s’engage sur des résultats concrets avec la supervision d’un de nos Partners auprès du manager de transition.

Pour répondre à l’urgence grandissante des entreprises qui font face aux risques cyber, AXCEL Partners propose des missions allant de l’accompagnement de Dirigeant au pilotage opérationnel de projets ou d’équipes Cyber, IT ou Digital.