La cyber-résilience est-elle la patate chaude 2024 ? C’est la question que l’on peut se poser à la lecture des résultats de l’étude « Réévaluer la cyber-résilience : au-delà de l’illusion de maturité » menée par Palo Alto Networks et IDC Research sur le sujet. À qui incombe la responsabilité d’assurer la cyber-résilience de l’organisation ? Aucune réponse claire ne se dégage. 29% des répondants penchent pour le DSI, 22% pour le CTO. Plus surprenant, le directeur commercial obtient près d’1 réponse sur 5 (19%), devant… le RSSI (17%), dernière roue du carrosse.
En revanche, du côté stratégique, la ligne est claire : ce rôle doit être assuré par le conseil d’administration. Les répondants en font même le deuxième facteur essentiel de cyber-résilience de l’entreprise, derrière une stratégie de transformation numérique. Et surtout devant les réglementations qui imposent pourtant aux entreprises de s’armer face aux cyberattaques ! « Il est vital que l’équipe de direction s’engage sans équivoque à créer et gérer des politiques de cybersécurité claires et à en mesurer l’impact, martèle Haider Pasha, responsable de la sécurité pour la zone EMEA et l’Amérique Latine chez Palo Alto Networks. Elle doit aussi donner les moyens aux responsables intermédiaires de prendre des décisions plus rapidement. Faute de quoi, toute la responsabilité des mesures de réaction aux incidents retombe sur les équipes de cybersécurité. »
Trop d’outils de cyber-résilience en place
Ce manque de lisibilité dans les responsabilités de chacun en cas de cyber-incident s’ajoute à d’autres difficultés, pénalisant la cyber-résilience des entreprises. Sans surprise, la pénurie de talents apparaît comme un écueil majeur, cité par 70% des répondants. Et de talents compétents, a fortiori, puisque le « manque de compétences dans les technologies émergentes de la sécurité » arrive ex-aequo. Troisième sur le podium, la multiplication de solutions de sécurité, pas toujours interopérables (52% des réponses).
De quoi expliquer que seules 11% des 785 entreprises interrogées disposent d’une solution de cyber-résilience jugée « mature ». Il s’agit principalement d’un plan de continuité d’activité (74%) ou de redressement d’activité (72%). Voire plus spécifiquement de rétablissement après rançongiciel (54%). À peine 1 entreprise sur 2 (51%) disposant d’un plan de cyber-résilience a adopté une stratégie plus globale de gestion de crise. Soit seulement 5% du nombre total d’entreprises interrogées… Encore plus inquiétant (oui, c’est possible) : à peine 28% des RSSI dont l’entreprise dispose de l’un ou l’autre de ces plans le testent régulièrement… On comprend mieux pourquoi seulement 4 entreprises sur 10 se disent confiante dans la possibilité de se remettre d’une cyberattaque « sans perturbation majeure »…
« De toute évidence, de nombreuses organisations ne possèdent pas encore les ressources nécessaires pour mettre en œuvre une solution de cyber-résilience capable d’empêcher les attaques, regrette Haider Pasha. La visibilité insuffisante sur l’impact des menaces et la priorité donnée à une tactique de résolution des problèmes empêchent les entreprises de planifier les risques de demain. »
Des bonnes résolutions à prendre pour 2024
Seul élément de consolation : plus de 3 entreprises répondantes sur 4 (78%) jugent que la cyber-résilience doit être « une priorité » pour leur entreprise. En France, 42% des entreprises la jugent même d’une importance « vitale ». En 2024, les entreprises devront donc traduire leur discours en actes. Et prendre quelques bonnes résolutions pour se préparer à affronter les cyber-menaces de l’année.
Les mesures prioritaires à prendre ? D’abord développer la sensibilisation aux problématiques cyber, selon 49% des répondants. Puis accélérer la prise de décision (47%) et réaliser des simulations d’attaques (44%). Notons également qu’une meilleure visibilité des menaces (43%) fait partie des leviers essentiels, loin devant les autres mesures citées. Reste donc aux RSSI à mettre à jour leur liste des tâches. Ou au DSI ? Au CTO ?..