Les directeurs comptent trop sur les indicateurs de conformité pour mesurer l’efficacité des programmes de sécurité

Les directeurs comptent trop sur les indicateurs de conformité pour mesurer l’efficacité des programmes de sécurité

79% des professionnels de la sécurité IT adressent des rapports de conformité à la direction générale  alors que 59 % affirment que les données relatives à la détection des menaces sont les plus importantes

Une nouvelle enquête sectorielle réalisée pour le compte de CyberArk révèle qu’un tiers des PDG et 43% des équipes dirigeantes ne sont pas régulièrement informées des problèmes de cyber-sécurité. En outre, alors que 79% des professionnels de la sécurité IT utilisent les indicateurs de conformité pour illustrer l’efficacité des programmes de sécurité, 59% déclarent que ce sont les données relatives à la détection des menaces qui sont les plus importantes.

Une étude indépendante menée auprès des professionnels de la sécurité informatique et intitulée « Le fossé entre les informations communiquées aux directeurs et la sécurité des entreprises », passe en revue les types d’indicateurs utilisés pour mesurer l’efficacité du programme de sécurité, la fréquence des rapports, ainsi que d’autres facteurs tels que le budget et les compétences.

Le fossé de la cyber-sécurité : responsabilité et information de la direction

L’enquête révèle que 60% des répondants pensent que leur organisation est susceptible d’être victime d’une attaque. Alors que l’agressivité et l’impact descyberattaques ne cessent de progresser, les PDG et les conseils d’administration sont tenus pour responsables de la sécurité de leur organisation. En analysant de plus près l’avis des professionnels de la sécurité IT quant à l’attitude de leurs dirigeants en matière de cyber-sécurité, nous avons identifié les éléments qui conduisent à ce manque de cohérence :

  • 61% pensent que les PDG ne s’y connaissent pas assez en matière de cyber-sécurité
  • 69% déclarent que le sujet de la cyber-sécurité est trop technique pour leurs PDG
  • 53% pensent que les PDG prennent des décisions commerciales sans prendre en compte la sécurité
  • 44% considèrent que les PDG ne sont tout simplement pas conscients de la gravité des risques actuels

Les professionnels de la sécurité IT doivent procéder à l’éducation de leurs dirigeants

Alors que les professionnels de la sécurité IT comptent sur les décisions de leurs directeurs pour élaborer leur stratégie de sécurité, les PDG se reposent de plus en plus sur leurs équipes de sécurité IT pour obtenir des informations de sécurité pertinentes. L’enquête démontre que les lacunes des PDG en matière de cyber-sécurité pourraient être comblées si les équipes de sécurité apprenaient à ces derniers à identifier les aspects critiques de la sécurité d’une entreprise :

  • Un tiers des PDG n’est pas régulièrement informé des problèmes de cyber-sécurité et des risques commerciaux s’y afférant
  • 43% des équipes de direction ne reçoivent pas régulièrement de rapports relatifs à la sécurité de leur structure
  • 59% des interrogés déclarent que les indicateurs de détection des menaces sont les plus efficaces pour mesurer la performance du programme de sécurité, alors que 79% continuent de fournir des rapports de conformité et d’audit à leurs PDG et équipes directionnelles 
  • La visibilité dont bénéficie la direction quant à l’efficacité du programme de sécurité varie selon le secteur : le plus haut pourcentage a été recensé dans le secteur des services financiers (72%) puis des soins de santé (70%), où les répondants déclarent fournir régulièrement des rapports et des indicateurs de mesure à leurs directeurs

o   Dans les secteurs industriel, hospitalier, non-lucratif et du transport, à peine 50% des interrogés ont indiqué fournir régulièrement des rapports et des indicateurs de mesure à leurs directeurs

« La conformité ne reflète pas la sécurité. Elle peut amener les PDG à manquer de vigilance car elle ne consiste qu’à cocher une case sans offrir le contexte qui permet de définir le niveau de protection nécessaire pour chaque type d’informations, déclare John Worrall, Directeur du marketing chez CyberArk. Les professionnels de la sécurité communiquent aux dirigeants les mauvaises informations. Ils doivent fournir à leurs PDG et équipes directionnelles des données pertinentes, comme celles concernant la détection des menaces et les facteurs de risques, et non les informations relatives à la conformité et à la disponibilité du système. »

Le budget est-il un obstacle à une cyber-sécurité efficace ?

L’optimisation des fondements de la sécurité IT est une étape cruciale permettant aux organisations de renforcer leur niveau de sécurité global. L’enquête a identifié plusieurs points influençant fortement la sécurité des organisations :

  • 75% des répondants ont indiqué que les contraintes budgétaires représentent la principale entrave à l’optimisation de la cyber-sécurité
  • 53% jugent que le grave manque de compétences actuel en matière de cyber-sécurité provient avant tout d’un manque d’expertise
  • La sécurité en bordure des réseaux et la sécurité des comptes à privilèges seront les deux priorités sécuritaires des organisations au cours de l’année à venir

« Qu’ils le veuillent ou non, ce sont à présent les PDG qui détiennent l’agenda sécuritaire de leur entreprise. Par la réalisation de cette enquête, l’un de nos objectifs était de mieux comprendre le fossé existant entre les équipes de sécurité et les équipes de direction, et de les aider ainsi à entamer une collaboration productive afin de renforcer la sécurité de l’entreprise, poursuit John Worrall. En fournissant une meilleure visibilité de l’efficacité des programmes de cyber-sécurité et en communiquant régulièrement leurs besoins en matière de budget et de compétences, les professionnels de l’IT obtiendront le soutien de leurs directeurs et aideront ainsi leur organisation à se protéger de façon proactive face aux menaces avancées. »

Afin de mieux guider les équipes directionnelles et de favoriser le dialogue lorsque des décisions critiques doivent être prises en matière de cyber-sécurité, CyberArk a récemment lancé une nouvelle initiative baptisée CISO View. Le CISO View est un forum destiné aux membres de la communauté CISO (Chief Information Security Officer), permettant à ces derniers de partager leurs meilleures pratiques et des conseils concrets pour la mise en place des programmes de sécurité efficaces. Un nouveau rapport, intitulé « La recherche du juste équilibre : Le CISO View et l’optimisation des contrôles des accès privilégiés », propose les conseils d’un panel de CISO issus de 1000 entreprises au niveau mondiale, sur la façon d’élaborer un vaste programme de sécurité des comptes à privilèges, ainsi que des recommandations pour  obtenir l’appui de ses directeurs, communiquer les indicateurs pertinents,  et mesurer l’efficacité des contrôles. Le rapport est disponible gratuitement via http://www.cyberark.com/cisoview.


PrécédentAccueilSuivantPartager