90% des responsables informatiques affirment que leur entreprise serait disposée à compromettre la cybersécurité en faveur de la transformation informatique, de la productivité ou d’autres objectifs observait Trend Micro Incorporated à l’occasion d’une étude publiée en novembre 2021. Le corolaire direct de ce constat, c’est que 82% des responsables informatiques se sont déjà sentis contraints de minimiser la gravité des risques auprès du conseil d’administration de leur entreprise.
Un décalage selon la taille
« Les responsables informatiques ont tendance à s’autocensurer, de peur de paraître trop négatifs aux yeux de leur conseil d’administration », explique Nicolas Arpagian, directeur de la stratégie de cybersécurité chez Trend Micro.
Sébastien Viou, directeur cybersécurité produits et cyber-évangéliste chez Stormshield, comprend la tendance mais estime qu’il existe des différences selon la taille des entreprises. « Il y a toujours eu un décalage : les grands groupes sont beaucoup plus réceptifs et sensibles aux questions de cybersécurité que les PME ou TPE. Ce n’est pas qu’une question de sensibilisation : même les dirigeants des petites structures ont entendu parler des risques cyber dans les médias. Ce qui justifie la différence d’action, c’est surtout ce qui est considéré comme prise de risque acceptable : à quel moment est-il rentable d’investir pour faire face à la menace, dans quelle mesure le business est-il exposé ? »
Sujet stratégique
Pour répondre à ces questions, nul besoin d’être un expert. « Un dirigeant n’a pas besoin de se former ou de tout savoir sur la cybersécurité. Il doit pouvoir se reposer sur son service informatique », estime Sébastien Viou. Bien que de nombreux organismes (Clusif, Medef…) proposent des journées d’échanges ou de formation, il estime que les dirigeants d’entreprise n’ont pas forcément le temps de se consacrer à cette mise à niveau permanente. « Ils n’ont pas à comprendre tout ce qui se passe, puisqu’ils n’ont pas vocation à être opérationnels sur le sujet. Mais même sans compétences, la cybersécurité reste un sujet de dirigeants. Au même titre que la santé ou la sécurité au travail, la cybersécurité d’une entreprise relève de la responsabilité du chef d’entreprise. Si sa société coule parce qu’il n’a pas su prendre la mesure de la menace, c’est le dirigeant qui doit en assumer les conséquences – d’un point de vue économique et social. Plus qu’un sujet de compétences, c’est un sujet de gouvernance. » Il explique qu’il convient donc de changer de posture vis-à-vis des responsables de la sécurité de l’information, pour déterminer à leurs côtés un budget à allouer au sujet en fonction des risques encourus.
Une situation en évolution
Sébastien Viou regrette que, dans de nombreux cas, les dirigeants ne s’intéressent au sujet qu’après une cyberattaque majeure.
Quand on l’interroge sur la possibilité que cette dynamique change à l’avenir, il se montre néanmoins optimiste. « La nouvelle génération va rebattre les cartes : il s’agira de dirigeants qui sont nés avec l’outil informatique. Intégrer les enjeux de cybersécurité au sein de la stratégie d’entreprise leur demandera moins d’efforts. »