Proofpoint, société leader en matière de cybersécurité et de conformité, publie aujourd’hui les résultats de son deuxième rapport annuel sur la perception des risques cyber au niveau du conseil d’administration (Cybersecurity: The 2023 Board Perspective). L’étude explore les principaux défis auxquels sont confrontés les administrateurs de grandes entreprises, au regard des menaces actuelles, de leurs priorités en matière de cybersécurité et de leurs relations avec les responsables de la sécurité informatique de l’entreprise (RSSI).
Le rapport Cybersecurity : The 2023 Board Perspective repose sur une enquête mondiale menée en juin 2023 auprès de 659 membres de conseils d’administration en Europe, Asie et Amériques, au sein d’organisations comptant 5 ;000 employés ou plus et appartenant à différents secteurs d’activité.
Les conclusions principales
Les résultats de l’enquête révèlent qu’en France, plus de la moitié des administrateurs (52 %) s’inquiètent de l’impact des solutions d’IA générative comme ChatGPT sur la sécurité de leur entreprise. Bien que légèrement sous la moyenne mondiale (59 %), les administrateurs français n’en sont pas moins inquiets ;; en effet, 4 sur 5 (80 %) se sentent sous la menace d’une cyberattaque matérielle (contre 78 % en 2022), et 46 % s’estiment mal préparés pour faire face à une attaque d’envergure (contre 40 % l’année dernière).
Cette augmentation d’une année sur l’autre reflète sans doute la pression croissante exercée par le paysage actuel de la menace cyber, notamment liée aux tensions géopolitiques persistantes, à l’augmentation des campagnes de ransomwares et à la multiplication des attaques sur la chaîne d’approvisionnement de l’entreprise.
En France, les membres de conseil d’administration sont bien conscients de ces évolutions et 84 % considèrent la cybersécurité comme une priorité ; 80 % estiment que leur conseil d’administration comprend clairement les risques cyber auxquels ils sont confrontés, et 68 % pensent qu’ils ont investi de manière adéquate dans la cybersécurité.
Les chiffres dans le détail
Le rapport explore trois domaines clés : les cybermenaces et les risques auxquels les conseils d’administration sont confrontés ;; leur niveau de préparation pour combattre ces menaces ;; et leur alignement avec les RSSI, dont les perceptions ont été mises en lumière dans le rapport Voice of the CISO 2023 publié en mai dernier.
Les deux rapports montrent que, d’une année sur l’autre, le nombre de RSSI qui se sent en danger et mal préparé augmente, mais les chiffres démontrent aussi que les interactions entre administrateurs et responsables de la sécurité s’intensifient — un bon signe pour la résilience cyber des organisations.
« ;Le nouvel alignement entre les membres des conseils d’administration et leurs RSSI, sur le risque cyber et sur la préparation, est un signe positif qui démontre que les deux parties travaillent de plus en plus étroitement à faire progresser la posture de sécurité de l’entreprise. En revanche, cette relation croissante n’a pas encore créé de changements significatifs, même si les conseils d’administration sont satisfaits du temps et des ressources qu’ils investissent pour lutter contre ce risque ;», a déclaré Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité chez Proofpoint. « ;Nos résultats montrent qu’il reste difficile de traduire une prise de conscience accrue en ce qui concerne les stratégies de cybersécurité efficaces pour protéger les personnes et les données de l’entreprise et le développement de relations encore plus fortes entre les conseils d’administration et les RSSI ;; cette dynamique sera déterminante dans les mois à venir pour s’assurer qu’ensemble, ils investissent dans les bonnes priorités. ;»
Les résultats du rapport Board Perspective 2023 de Proofpoint montrent que :
- L’IA générative inquiète les conseils d’administration : alors que des outils tels que ChatGPT ont été largement mis en avant ces derniers mois, 52 % des membres de conseils d’administration français interrogés (59 % au niveau mondial) considèrent cette technologie émergente comme un risque pour la sécurité de leur organisation.
- Les conseils d’administration français sont légèrement plus préoccupés par les risques cyber comparés à l’année dernière : 80 % des Français interrogés (73 % au niveau mondial) estiment que leur organisation court un risque de cyberattaque d’envergure, contre 78 % en 2022 (65 % au niveau mondial).
- La sensibilisation et le financement ne se traduisent pas par un état de préparation : 84 % des membres de conseils d’administration français (73 % au niveau mondial) reconnaissent que la cybersécurité est une priorité pour eux, 80 % (72 % dans le monde) pensent que leur conseil d’administration comprend clairement les risques cyber auxquels ils sont confrontés, 68 % (70 %) pensent qu’ils ont suffisamment investi dans la cybersécurité. Par ailleurs, 92 % (84 %) pensent que leur budget lié à la cybersécurité augmentera au cours des 12 prochains mois. Cependant, ces efforts ne se traduisent pas par une meilleure préparation : 46 % (53 % dans le monde) considèrent toujours que leur organisation n’est pas préparée à faire face à une cyber-attaque au cours des 12 prochains mois.
- Les membres des conseils d’administration français et les RSSI n’ont pas les mêmes points de vue quant aux menaces les plus importantes : Les premiers ont classé les logiciels malveillants (48 %), le smishing/vishing (40 %) et la fraude par courriel/BEC (38 %) parmi leurs principales préoccupations. Ces chiffres sont pour la plupart différents de ceux relevés auprès des RSSI, qui eux classent en premier la fraude par e-mail/BEC (35 %), suivie par les menaces internes (33 %), puis les attaques sur la chaîne d’approvisionnement (32 %).
- Les membres de conseils d’administration français ne sont pas complètement alignés avec les RSSI concernant le risque interne et la protection des données : alors que la plupart des membres de conseils d’administration (72 % — 63 % au niveau mondial) et des RSSI français (75 % — 60 % au niveau mondial) s’accordent à dire que l’erreur humaine est leur plus grand risque, les membres du conseil d’administration sont beaucoup plus confiants dans la capacité de leur organisation à protéger les données — 90 % des conseils d’administration partagent ce point de vue (75 % au niveau mondial), contre seulement 70 % des RSSI (60 % au niveau mondial).
- Une meilleure veille sur les menaces, des ressources cyber supplémentaires, un budget plus important et des réglementations cyber plus strictes figurent en tête de la liste de souhaits des conseils d’administration : 40 % des administrateurs français (35 % au niveau mondial) ont déclaré que la cybersécurité de leur organisation bénéficierait d’une meilleure veille sur les menaces, 38 % (35 % dans le monde) souhaiteraient disposer de plus de ressources cyber, 38 % (37 % au niveau mondial) voudraient y allouer un budget plus important et 38 % souhaiteraient des réglementations cyber plus strictes.
- Les interactions et les relations entre les conseils d’administration et les RSSI s’améliorent progressivement : 56 % des administrateurs français déclarent interagir régulièrement avec les responsables de la sécurité (53 % au niveau mondial). Bien qu’il s’agisse d’une augmentation par rapport à l’année dernière (51 % contre 47 %), près de la moitié des conseils d’administration n’ont toujours pas de relations solides avec leurs RSSI. Les membres du conseil d’administration et leurs RSSI sont généralement d’accord lorsqu’ils interagissent, avec 80 % (65 % dans le monde) des membres du conseil d’administration déclarant qu’ils ont une vision commune avec leurs RSSI et 67 % (62 % dans le monde) des RSSI pensant de même.
- La responsabilité personnelle est une préoccupation pour les conseils d’administration et les RSSI : 82 % des membres de conseils d’administration français (72 % au niveau mondial) se disent préoccupés par leur responsabilité personnelle à la suite d’un incident de cybersécurité dans leur propre organisation, et 81 % (62 %) des RSSI sont du même avis.
« ;Les membres des conseils d’administration prennent les questions de cybersécurité au sérieux, démontrant qu’ils ne se font pas d’illusions sur le risque humain et l’impact des cybermenaces sur les résultats de l’organisation. Les administrateurs progressent dans leurs relations avec les responsables de la sécurité, et comprennent que des liens solides entre le conseil d’administration et les RSSI sont plus importants que jamais ;», a déclaré Ryan Kalember. « ;En revanche, ce n’est pas le moment de se reposer sur ses lauriers. Les conseils d’administration doivent continuer à investir massivement dans la préparation et la résilience de leur organisation. Pour se faire, il faut encourager des échanges encore plus approfondis et plus productifs avec les RSSI, pour s’assurer que les directeurs prennent des décisions stratégiques, qui elles-mêmes conduisent à des résultats positifs. ;»
Méthodologie
Le rapport Cybersecurity : The 2023 Board Perspective repose sur une enquête mondiale menée en juin 2023 auprès de 659 membres de conseils d’administration, d’organisations comptant 5 ;000 employés ou plus et appartenant à différents secteurs d’activité. En août 2022, 50 membres de conseils d’administration ont été interrogés sur chaque marché dans 12 pays : États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Australie, Singapour, Japon, Brésil et Mexique.
À propos de Proofpoint
Proofpoint est une entreprise leader dans le domaine de la cybersécurité qui protège les ressources les plus importantes et les plus à risques des entreprises : leurs collaborateurs. Grâce à une suite intégrée de solutions cloud, Proofpoint aide les entreprises du monde entier à stopper les menaces ciblées, à protéger leurs données et à rendre leurs utilisateurs plus résistants face aux cyberattaques.
Source : Proofpoint
Et vous ?
Que pensez-vous de ce rapport ? le trouvez-vous crédible ou pertinent ?
Qu'en est-il au sein de votre entreprise ?
Voir aussi :
Seules 53% des entreprises françaises se sont acquittées de la rançon pour récupérer leurs données suite à une attaque par rançongiciel, les criminels se concentrent maintenant sur d'autres techniques
Les attaques de ransomware peuvent coûter aux entreprises jusqu'à 30 % de leur revenu d'exploitation, d'après un nouveau rapport de ThreatConnect
Proofpoint présente Intelligent Compliance Platform, qui apporte aux entreprises des garanties modernes pour la conformité réglementaire, tout en simplifiant les pratiques de protection juridique