Préoccupations relatives aux cybermenaces en hausse, confiance en baisse

Déclin de la confiance en la cybersécurité

L’étude de cette année a révélé un déclin notable de la confiance des firmes à l’égard de chaque aspect critique de la cyberrésilience :

1. Comprendre, évaluer et mesurer les cyberrisques.
2. Être en mesure de réduire la probabilité que des cyberattaques se produisent ou de prévenir le dommage potentiel.
3. Gérer les incidents liés à la cybersécurité, y réagir et reprendre les activités après ceux-ci.

Ensemble, ces aspects fournissent une mesure globale de la cyberrésilience d’une organisation, c’est-à-dire sa capacité à traverser un incident lié à la cybersécurité, à mettre en œuvre ses capacités de planification, d’évaluation, de prévention, d’atténuation et d’intervention pour le gérer et à reprendre les activités normales en réduisant le temps d’arrêt et les pertes.

En 2019, la proportion des firmes qui ont signalé être « très confiantes » a diminué dans chacun de ces trois aspects par rapport à 2017.

Ce qui est tout aussi préoccupant, c’est que beaucoup plus d’organisations ont indiqué « ne pas être confiantes du tout » à l’égard de chacun des trois piliers.

Par exemple, plus d’une organisation sur cinq en 2019 a indiqué ne pas être confiante du tout en sa capacité à gérer une cyberattaque ou à y réagir.

En 2019, à peine 11 % des firmes ont signalé un degré élevé de confiance à l’égard des trois aspects de la cyberrésilience.

Discordance en matière de cybersécurité : risques stratégiques, gérés tactiquement

Même si les cyberrisques occupent le haut du classement des priorités stratégiques organisationnelles, la plupart des organisations continuent à les gérer d’une manière tactique.

En général, elles ont encore de la difficulté à créer une culture de la cybersécurité forte avec la gouvernance, les priorités, la gestion et les ressources appropriées. Cette réalité place les organisations en situation désavantageuse en ce qui a trait à la cyberrésilience et à la lutte contre les cyberrisques actuels, qui sont de plus en plus complexes.

Par exemple, pour la plupart des firmes, les postes de technologie et de sécurité de l’information continuent à être perçus comme les principaux responsables de la gestion des cyberrisques.

En fait, la prédominance des technologies de l’information (TI) a augmenté au cours des deux dernières années, alors que 90 % des firmes ont indiqué que les équipes de technologie et de sécurité de l’information étaient les principales responsables de la cybersécurité en 2019. Cette proportion était de 70 % en 2017. Signe positif, 65 % des firmes ont indiqué que les membres de la haute direction ou du conseil d’administration étaient ceux qui chapeautaient les efforts de gestion des cyberrisques. Il s’agit là d’une hausse par rapport à 2017.

En 2019, 49 % des organisations ont mentionné que l’équipe de gestion du risque était la principale responsable de la gestion des cyberrisques.

Bien qu’il s’agisse là d’une hausse notable depuis 2017, il reste encore une marge considérable d’augmentation de la participation des équipes de gestion du risque en vue de soutenir les programmes de cybersécurité. 

Le fait que l’équipe des TI soit considérée comme responsable principale presque deux fois plus souvent que celle de la gestion des risques dénote une perception soutenue et erronée voulant que les cyberrisques soient un problème technologique plutôt qu’un risque commercial critique qui exige une approche de gestion stratégique des risques d’entreprise.

La question de savoir qui dirige la gestion des cyberrisques n’est qu’un des domaines dans lesquels il y a de la discordance entre les perceptions et les actions d’une organisation.

Malgré le niveau élevé de préoccupation stratégique que les organisations disent avoir pour les cyberrisques, ce ne sont pas tous les « gestionnaires des risques » qui accordent à cet enjeu l’attention qu’il mérite.

Seuls 17 % des membres de la haute direction ou du conseil d’administration affirment avoir consacré plus de quelques jours aux enjeux liés aux cyberrisques au cours de la dernière année.

Même parmi les répondants des TI, 30 % affirment n’y avoir accordé que quelques jours ou moins. Ce peu de temps accordé est préoccupant étant donné que ces deux groupes sont classés parmi les trois principaux responsables de la gestion des cyberrisques au sein de l’organisation.

L’importance de l’appui du programme de gestion des cyberrisques par la haute direction est mise en évidence par le manque de confiance à l’égard de la cyberrésilience globale dont font état ceux qui ne bénéficient pas de cet appui.

Parmi les organisations qui ont cité l’absence d’un mandat de la haute direction comme obstacle à une gestion efficace des cyberrisques, seulement 19 % avaient un haut degré de confiance à l’égard d’au moins un des trois aspects de la cyberrésilience, par rapport à 31 % parmi tous les répondants.

Même si elles reconnaissent généralement que les cyberrisques représentent une priorité, trop peu d’organisations prennent actuellement des mesures pour créer une forte « culture » de cybersécurité avec des normes de gouvernance, une hiérarchisation des priorités, l’attention des gestionnaires et une attribution de la responsabilité appropriées.

Cette réalité les place en situation désavantageuse sur les plans de la cyberrésilience et de la lutte contre un nombre croissant d’enjeux de cybersécurité dans un environnement technologique et une chaîne d’approvisionnement en constante évolution.

Les trois autres observations résultant de l’analyse des données indiquent une discordance entre les préoccupations élevées à l’égard des cyberrisques et l’approche tactique :

En grande partie, les décisions d’investissement ne sont pas basées sur une mesure quantitative des risques et sont prises en réaction à un incident :

• Seulement 30 % des organisations utilisent des méthodes quantitatives pour mesurer et décrire leur exposition aux cyberrisques. Bien qu’il s’agisse de près du double du pourcentage de 2017, cela signifie que 70 % des organisations continuent à utiliser des méthodes vagues et descriptives pour évaluer leur exposition aux cyberrisques – et 26 % d’entre elles affirment n’avoir aucune méthode d’évaluation.
• Aussi, 64 % des organisations ont affirmé que le plus important déclencheur des augmentations des investissements dans la cybersécurité serait une cyberattaque contre elles : une approche réactive qui ne tient pas compte de l’importance d’une évaluation, d’une planification et d’une mesure proactives en vue d’optimiser le financement de la cybersécurité.

Les mesures prises par la plupart des organisations portent sur la technologie et la prévention, au détriment des autres mesures favorisant la résilience.

Bien que, respectivement, 83 % et 78 % d’entre elles affirment avoir amélioré la sécurité du matériel informatique et la protection des données au cours des 12 à 24 derniers mois, seulement environ 30 % ont préparé des scénarios d’incident lié à la cybersécurité, donné une formation de table en gestion ou évalué les risques relatifs à la chaîne d’approvisionnement.  Moins de la moitié des organisations ont affirmé avoir examiné ou mis à jour leur plan d’intervention en cas d’incident lié à la cybersécurité.

Bien que l’éventail et le type de mesures nécessaires pour gérer efficacement les cyberrisques varient d’une entreprise à l’autre, la pratique qui s’applique à toutes les organisations, peu importe l’industrie ou la taille, consiste à mettre en place un cadre de gestion des cyberrisques rigoureux, comme elles le font pour les autres risques stratégiques.

Une approche exhaustive qui intègre la planification, la formation, le transfert de risques, les simulations d’intervention et la prévention représente la meilleure feuille de route pour favoriser la cyberrésilience.