Les RSSI souvent trop peu entendus dans les entreprises allemandes

Selon une étude récemment menée par Trend Micro, environ trois quarts (76 %) des responsables allemands de la sécurité informatique (RSSI) se sentent sous pression de la part de leur propre direction pour minimiser les risques de la sécurité informatique dans l’entreprise. 2 600 responsables de la sécurité de différents secteurs ont été interrogés dans plusieurs régions géographiques du monde, dont 100 en Allemagne. Au niveau mondial, ce chiffre est de 79 %. Près de la moitié des personnes interrogées outre-Rhin (48 %) estiment que seul un incident grave inciterait la direction à prendre des mesures plus fermes contre les cyber-risques. Une action a posteriori donc.

En ce qui concerne la perception du rôle de RSSI, 49 % des personnes interrogées se sentent considérées de manière excessivement négative. 43 % sont encore plus précises, affirmant que les directions générales les perçoivent comme étant spécifiquement répétitifs et râleurs. Environ un tiers des participants rapportent qu’ils ont déjà été rejetés sans ménagement par la direction, au moment de venir alerter sur un risque à prendre en compte face à un climat général ou un projet spécifique.

Quel que soit le point du globe, à l’heure où une accélération nette des activités malveillantes touchant tout particulièrement la sphère économique se fait sentir, il semble donc que les RSSI soient perçus comme des Cassandre et demeurent largement inaudibles. Comme si le lien entre risques cyber et risques économiques pour les organisations ne faisait pas encore suffisamment sens en soi pour les dirigeants.

« Si la communication avec la direction ne s’améliore pas, la cyber-résilience des entreprises en souffrira. La 1ère étape pour s’améliorer devrait être de créer une “source unique de vérité” pour l’ensemble de la surface d’attaque ».

« Plus de la moitié des responsables de la sécurité en Allemagne (62 %) affirment que les cyber-risques constituent leur plus grand risque commercial. Mais ils ne parviennent souvent pas à communiquer ce risque de manière à ce que la direction le comprenne. En conséquence, ils sont ignorés, rabaissés et accusés de râler », explique Richard Werner, Security Advisor chez Trend Micro. « Si la communication avec la direction ne s’améliore pas, la cyber-résilience des entreprises en souffrira. La première étape pour s’améliorer devrait être de créer une “source unique de vérité” pour l’ensemble de la surface d’attaque ».

Cela s’explique notamment par le manque de chiffres clés compréhensibles. Seule la moitié environ des personnes interrogées partent du principe que la direction comprend correctement les cyber-risques auxquels leur entreprise est exposée. Les entreprises manquent souvent de données centralisées pour pouvoir les analyser et les mettre en corrélation. De nombreuses solutions individuelles génèrent des événements incohérents et bloquants, ce qui rendrait difficile pour le RSSI de communiquer sur une stratégie claire à propos des cyber-risques.

Presque toutes les personnes interrogées déclarent ainsi que leur situation interne ne s’améliore que lorsqu’elles arrivent à mesurer et présenter de manière intelligible les avantages en matière de résultats financiers de leur stratégie de sécurité. Dans ces conditions, 46 % estiment être écouté et voir leur budget augmenter et 42 % se disent mieux perçus, accédant même à des niveaux de décisions plus en phase avec le risque réel.

Reste que si l’on se recentre sur le cas allemand, dans plus d’un tiers (34 %) des entreprises, la cybersécurité est considérée comme une tâche purement informatique et non comme une partie de la gestion des risques commerciaux et stratégiques des organisations. Une vision que commencent à remettre en cause les observateurs au vu du dernier Allianz Risk Barometer 2024 proposé par le géant mondial de l’assurance et qui révèle que les cyber-risques constituent désormais le principal risque commercial pour les entreprises.