C’est le résultat d’ une étude mondiale menée par « The Economist Intelligence Unit (EIU) » et sponsorisée par Willis Towers Watson. En substance, elle révèle que les dirigeants restent dubitatifs sur la réelle mise en œuvre de solutions correctrices à la suite d’une cyber attaque. Elle a porté sur 450 entreprises du monde entier au sujet de leurs stratégies appliquées et aux défis rencontrés dans l’élaboration d’organisations « cyber-résilientes ». D’un côté, la plupart des sociétés se considèrent réactives et efficaces pour répondre à un sinistre cyber. De l’autre, seules 13% d’entre elles se déclarent réellement performantes, et ce car elles prennent en compte les leçons tirées des incidents du passé dans leurs stratégies de cyber-résilience.
Autre enseignement : les administrateurs et les dirigeants trouvent rarement d’accord sur les réponses à apporter au risque cyber. Comment rendre l’organisation cyber-résiliente ? Avec quels fonds financer les investissements ? Quelles sont les entités de l’entreprise les plus risquées ? La vision de ce qu’est la préparation au risque cyber est également variable selon les zones géographiques. Les entreprises d’Amérique du Nord contrastent fortement avec leurs homologues asiatiques et, dans une certaine mesure avec l’Europe. Ces dernières appréhendent différemment la fréquence et l’impact des attaques cyber et s’affirment plus confiantes dans leur capacité à surmonter une intrusion dans leur système.
Autre constat, les dépenses des entreprises en cyber-résilience représentent environ 1,7 % de leurs revenus et 96 % des membres du conseil d’administration considèrent que ce montant est insuffisant.
Les entreprises nord-américaines sont celles qui dépensent le plus pour se protéger des risques cyber (2 à 3% des revenus contre 1 à 2%, voire moins, pour les autres régions). Aucune solution de cyber-protection ne se démarque des autres. Les investissements dans les technologies de cyber-défense et le recrutement de compétence IT spécifiques obtiennent des scores comparables. ¾ des régions estiment que la supervision du risque cyber doit être confiée au « conseil d’administration dans son ensemble ». Seule l’Europe se distingue en confiant cette responsabilité à une équipe dédiée à ce risque.
Selon Anthony Dagostino, Responsable Monde de l’activité cyber chez Willis Towers Watson, « il est important que les entreprises comprennent que résister au risque cyber n’est pas facultatif. La gestion de cette menace reste encore trop confinée à certains rôles alors qu’elle relève de la responsabilité de tous. Le conseil d’administration devrait mettre en évidence les besoins d’avoir un cadre formel pour contrer la menace cyber et les dirigeants de l’entreprises devraient mettre en œuvre ce cadre en impliquant toutes les parties, de la DSI, à la gestion des risques, en passant par le département juridique, la mise en conformité… »
Guillaume Deschamps, Directeur des Lignes Financières (FINEX) en France, ajoute : « les entreprises ont besoin d’une gestion du risque beaucoup plus intégrée qu’elle ne l’est aujourd’hui. S’il est vrai que la technologie continuera à jouer un rôle crucial dans la défense les entreprises, n’oublions pas que plus de la moitié des intrusions sont dues à des mauvais réflexes des collaborateurs et au manque de compétences dans les équipes en charge de la protection cyber. C’est pourquoi il faut que les entreprises mettent les investissements dans la sensibilisation de leur capital humain et la souscription de contrats d’assurances cyber à l’ordre du jour de leur conseil d’administration ».
