Comment rassembler les dirigeants autour de la cybersécurité ?

Conclusions mondiales et françaises de l’étude Digital Trust Insights 2023

Ces dernières années, sous l'impulsion d'événements que personne n'aurait pu prévoir, les dirigeants ont poussé leur entreprise et eux-mêmes au-delà de leur zone de confort : que ce soit avec le télétravail, le Cloud ou les chaînes d'approvisionnement presque entièrement numériques : des aventures qui s'accompagnent de nouveaux cyberrisques.

Bonne nouvelle : les responsables de la sécurité informatique et les équipes chargées de la cybercriminalité et d'autres cadres supérieurs ont relevé le défi. Plus de 70 % des 3 522 personnes interrogées ont observé des améliorations en matière de cybersécurité au cours de l'année, grâce à des investissements cumulés et à la collaboration des dirigeants.

Cybersécurité : des règles du jeu qui ne cessent de changer

En termes de cyberrisques, il reste encore à faire, et ce dans un contexte économique difficile. 

  • Moins de 40 % des interrogés affirment avoir pleinement atténué les risques encourus par leurs initiatives.

  • D'après leurs propres évaluations, les RSSI estiment qu'il est nécessaire de progresser davantage sur cinq compétences : identifier, détecter, protéger, répondre et se rétablir. 

  • Les répondants constatent que leur organisation est confrontée à des menaces accrues et craignent de ne pas être pleinement préparés à y faire face.

  • En 2023, trois défis se profilent : les divulgations obligatoires, les tests de résilience et la pression pour assurer la sécurité et la confidentialité des données.

Risques cyber : les dirigeants français se démarquent

  • 64 % des répondants indiquent une augmentation de leur budget cyber de plus de 5 % et 9 % indiquent une augmentation de plus de 15 %. 

  • Les dirigeants français observent une augmentation de l’exposition au risque cyber à l’instar de la tendance observée à l’échelle mondiale. 

  • Les cadres supérieurs interrogés en France considèrent que les incidents subis depuis 2020 constituent l’un des critères principaux dans l’amélioration de leur cybersécurité. 

  • Sur certains types d'attaques cyber, la France a une prise de conscience plus faible que le reste du monde vis-à-vis des sujets de hacking et d’exfiltration de données, de pénétration de leur partie tiers et d’attaques de leur infrastructure Cloud. 

Le guide de la cybersécurité et de la protection de la vie privée

La cybersécurité est devenue un domaine plus dynamique, qui s'adapte et évolue rapidement pour suivre le rythme de l’innovation des entreprises. Cette agilité est nécessaire pour relever les défis les plus difficiles qui nous attendent. Comment chacun d'entre vous peut-il continuer à faire la différence ? Dans quels domaines les RSSI et les équipes cyber doivent-ils exercer leur influence pour obtenir de meilleurs résultats ?

Le guide de la cybersécurité et de la protection de la vie privée dédié à la C-Suite présente les résultats de l’enquête Global Digital Trust Insights 2023. Elle met en lumière ce qui vous attend en termes de cyberrisques et la manière dont les dirigeants peuvent collaborer pour un avenir où la Cyber fait partie intégrante de leur stratégie.

Dirigeants et RSSI : la cyber au niveau du comité exécutif


Les RSSI saisissent l'occasion de prendre l'initiative d'un véritable leadership, de sortir de leur rôle de cyber-spécialiste indépendant et de s'associer non plus à quelques cadres, mais à l'ensemble de la direction. Les collaborations n'ont jamais été aussi importantes. 46 % des PDG - dont 49 % dans des organisations ayant déjà subi des attaques cyber - souhaitent donner plus d'autorité au RSSI pour favoriser la collaboration en matière de sécurité.

Dans les plans de résilience pour 2023, une cyberattaque catastrophique est le principal scénario envisagé car mettrait à l'épreuve l’ensemble du comité de direction : deux tiers des dirigeants considèrent la cybercriminalité comme la menace la plus importante pour l'année à venir. 

Découvrez comment les dirigeants peuvent collaborer avec les RSSI de demain.

Où puis-je, en tant que PDG, faire la plus grande différence en matière de cybersécurité ?


La digitalisation fait de la sécurité l'affaire de tous, et ce changement de culture commence par vous. Les principales parties prenantes d'une entreprise - actionnaires, clients et employés - en sont venues à assimiler tout impact de la sécurité à une perte de confiance - ce qui est en contradiction avec un des objectifs clés du PDG qui est d'instaurer et de maintenir la confiance. 

51 % des PDG et des membres du conseil d'administration exigent des plans de gestion des risques cyber en cas de transformations business ou opérationnelles majeures.

Quelles actions à mettre en place ?
Exprimez votre engagement envers la cybersécurité. Utilisez votre influence pour inspirer des changements radicaux et éliminer les obstacles organisationnels à la bonne coordination entre les dirigeants.

 

Notre dispositif Cloud est-il suffisamment agile et sécurisé ?


Les DSI et leurs équipes DevOps donnent souvent le ton en matière d'adoption du Cloud. Vous devrez collaborer plus étroitement avec votre RSSI et vos équipes de conformité pour apaiser les craintes de la direction et du conseil d'administration concernant les infractions cyber liées au Cloud. Les menaces liées au cloud computing augmentent dans près de 40 % des organisations. Et pourtant, près de deux tiers des dirigeants déclarent que ces risques ne sont pas entièrement atténués.

19 % des DSI, CISO et CTO sont convaincus que leur entreprise a pris des mesures pour se prémunir contre quatre facteurs courants de failles dans le Cloud.

Quelles actions à mettre en place ?
Pour sécuriser votre back-end, votre front-end, l'IoT et les technologies d'exploitation, travaillez avec le CISO pour verrouiller vos environnements Cloud - dès que possible et en continu.

Dépensons-nous suffisamment et dans les bons domaines ? Nos investissements nous permettent-ils de réduire le risque cyber de manière adéquate ?


De nombreux RSSI et directeurs financiers ont changé leur façon d'investir dans la cybersécurité. Ils utilisent les données pour prendre des décisions de financement en tenant compte des objectifs commerciaux et des principaux risques. Face à la prolifération des solutions technologiques, vous devrez collaborer avec le RSSI pour élaborer un plan global visant à sécuriser votre organisation à plusieurs niveaux, tout en simplifiant et en rationalisant l'ensemble des logiciels de votre entreprise.

39 % des directeurs financiers affirment que le fait de disposer de plus de solutions cyber contribuera à améliorer la posture cyber 

Quelles actions mettre en place ?
Lorsque vous modernisez et simplifiez l'informatique, demandez-vous comment obtenir une meilleure couverture des risques cyber par rapport à vos investissements. Votre focus sur les investissements vis-à-vis de votre réduction risque vous permettra d’optimiser votre modèle de sécurité par design. 

Que devons-nous faire pour rendre la chaîne d'approvisionnement et les opérations moins vulnérables et plus résilientes aux cyberattaques ?


La chaîne d'approvisionnement est un point focal pour les cyber menaces, les pressions concurrentielles et macroéconomiques, et les préoccupations ESG. Commencez à relever les défis de la sécurité en formant vos équipes, en investissant dans la technologie et en gérant mieux les risques liés aux tiers. Mais l'attrait croissant de la technologie opérationnelle (OT) pour les groupes malveillants signifie que vous devez accorder une attention particulière à la protection de l’OT.

56 % des CRO ou des COO sont extrêmement ou très préoccupés par la capacité de leur entreprise à résister aux attaques de la chaîne d'approvisionnement

Quelles sont les actions à mettre en place ?
Planifiez avec le CISO et le CIO la manière de progresser dans la sécurisation de votre technologie opérationnelle en complément de vos programmes de sécurisation IT.

La direction en fait-elle assez ? Comment pouvons-nous, en tant que conseil d'administration, exercer une meilleure gouvernance sur la cybersécurité de l'organisation ?


Les conseils d'administration s'intéressent de plus en plus à la cybersécurité, car leurs entreprises sont confrontées à des risques croissants. Mais il faut reconnaître le défi que représente le fait de rester à jour en matière de cybersécurité. Toutefois, l'avenir peut être différent. Les administrateurs sont prêts à apprendre et à consacrer plus de temps à la compréhension des risques cyber liés à la stratégie commerciale.

59 % des administrateurs déclarent que leur conseil d'administration n'est pas suffisamment efficace pour comprendre les facteurs et les impacts des risques cyber sur leur organisation

Quelles actions mettre en place ?
Encouragez les RSSI à parler votre langage. Demandez à participer à des exercices qui vous aideront à comprendre la cyber-résilience de votre organisation.

Comment pouvons-nous gouverner et sécuriser les données des clients afin qu'elles soient privées et sûres pour l'entreprise ?


Les CDO doivent relever de nombreux défis, car les données sont devenues un point de mire, pour le meilleur comme pour le pire. La moitié des responsables n’ont pas suffisamment confiance dans la gouvernance et la sécurité des données de leur organisation pour prendre des décisions sur cette base.

  • Les CDO sont considérés comme ayant une influence croissante sur la sécurité et la confidentialité des données. 

  • Un partenariat avec votre RSSI peut vous aider à mieux protéger ensemble les données et la vie privée.

31 % des CDO, CPO et CMO ont des relations "très efficaces" avec le CISO et prennent en compte la confidentialité et la sécurité dans le marketing. 

Quelles actions mettre en place ?
Travaillez avec votre RSSI pour répondre aux attentes des différentes parties prenantes, en couvrant tous les angles importants de la sécurité et de la confidentialité des données : 

  • gouvernance ; 

  • accessibilité ; 

  • exactitude et plus encore.

Comment votre profil de risque cyber affecte-t-il votre tolérance / acceptation de votre risque résiduel ? Dans quelle mesure les responsables des unités opérationnelles sont-ils engagés dans la gestion des risques cyber ?


Les RSSI et les CRO ont travaillé ensemble pour inclure les risques cyber dans les programmes de gestion des risques d'entreprise. Mais de nombreuses lacunes subsistent en matière de résilience opérationnelle et d’anticipation des menaces en transverse du périmètres humain et technologique.

46 % des CRO et des COO déclarent avoir mis en place des contrôles dans l'ensemble de l'organisation pour prévenir des graves incidents cyber. 

Quelles actions mettre en place ?
Adoptez une approche "tous risques" pour identifier les sources de perturbation et mettez en place un programme de résilience qui intègre les compétences essentielles de la gestion de crise, de la continuité des activités, de la reprise après sinistre et de la réponse aux incidents afin de réagir à l'échelle de l'entreprise, de manière cohérente et homogène.

Comment pourvoir plus rapidement nos postes cyber et retenir nos talents ?


Les RSSI et les CHRO (Directeur des Ressources humaines) brisent les codes, en élargissant les paramètres de recherche pour les recrutements au-delà des certifications et des diplômes techniques. En reconnaissant que certaines caractéristiques, telles que la capacité à résoudre des problèmes, sont au moins aussi importantes, vous élargissez votre vivier de candidats. En parallèle, vous formez les employés existants et commencez à utiliser des services managés pour assurer la cybersécurité de votre entreprise.

54 % des CISO et des CIO déclarent que l'attrition est un problème. Environ 40 % la surveillent de près. Elle entrave déjà la progression de 15 % des objectifs cyber.

Quelles actions mettre en place ?
Demandez-vous quelles sont les compétences dont vous avez réellement besoin dans votre programme cyber, mettez à jour votre méthode de recrutement pour ces compétences et offrez à vos dirigeants cyber des incitations et des perspectives de croissance qui les inciteront à rester.

Attaques cyber : trois cas d’usage pour favoriser la collaboration

38 % s'attendent à des attaques plus graves via le Cloud en 2023

La faille : les attaquants exploitent une mauvaise configuration de l'application Internet hébergée dans le Cloud d'une entreprise et volent les données des utilisateurs pour les vendre sur le marché noir.

Les conséquences : des notifications coûteuses aux propriétaires des données, la possibilité d'un recours collectif contre l'entreprise et/ou la dégradation de la réputation de l'entreprise.

Ce qui a mal tourné : sécurité inadéquate, pas de défense en profondeur, erreurs de codage, tests inadéquats du code écrit et des bibliothèques, données mal cryptées.

Comment travailler ensemble pour une meilleure défense :

  • CIO : intégrez avec plus de rigueur la sécurité dans le développement des applications (DevSecOps), ainsi que des tests approfondis avant le lancement en production de nouvelles versions applicatives. Corrigez les erreurs de configuration des utilisateurs et validez l'intégrité des déploiements automatisés.
  • CISO : établissez et appliquez des politiques et des procédures pour la sécurisation des applications et des données, les tests de vulnérabilité et de pénétration, l'application régulière de correctifs, le contrôle continu de la conformité et le contrôle des événements et des incidents de sécurité (SIEM).
  • CTO : exigez que les fournisseurs de services de cloud computing et les tiers fournissent des tableaux de bord et des outils pour détecter les mauvaises configurations dans leurs environnements.
  • CDO : confirmez que les applications sont conformes aux exigences de confidentialité et que les données des clients sont cloisonnées et cryptées pour une meilleure protection. Mettez en place des solutions qui chiffrent les données au repos, en transit et en cours d'utilisation.

29 % des grandes organisations s'attendent à une augmentation des attaques informatiques.

La faille : un système de fabrication est touché par un ransomware en raison de vulnérabilités exploitables dans les systèmes d'exploitation existants.

Les conséquences : la production s'arrête car les systèmes affectés sont mis hors service pour empêcher la propagation des dommages. Les conséquences se répercutent sur la chaîne d'approvisionnement.

Ce qui a mal tourné : les pirates exploitent des vulnérabilités non corrigées pour injecter un ransomware. Les vulnérabilités exploitées avaient déjà été corrigées dans les systèmes d'entreprise, mais en raison d'un manque de gestion des correctifs, de surveillance et de capacités de détection pour les systèmes existants, les vulnérabilités n'ont pas été détectées.

Comment travailler ensemble pour une meilleure défense :

  • CIO : avec le CISO et le CTO, cartographiez les convergences et les interdépendances critiques entre les systèmes IT et OT.
  • CISO : travaillez avec le CISO et le CTO pour exiger la séparation de l'informatique et de l'OT, développer une zone d'atterrissage sécurisée qui cache l'OT de l'accès direct, et former les employés sur l'accès approprié et les rôles de réponse aux incidents.
  • CTO : avec le CISO et le CIO, créez un plan pour l'application de correctifs et la surveillance des points finaux.
  • CRO : développez une méthodologie pour évaluer le cyber risque présent dans l'environnement OT. Inclure des scénarios et répéter les procédures de réponse aux incidents qui rejoignent les processus de réponse des TI et des TO.
  • COO : prenez en compte la cybersécurité dans le processus d'approvisionnement de vos systèmes de contrôle industriel, dans la conclusion de contrats avec des fournisseurs de cloud computing et dans la définition des accords de service avec les fournisseurs de services externes.

45 % des responsables de la sécurité et de l'informatique s'attendent à une nouvelle augmentation des attaques par ransomware

La faille : un employé du secteur médical ouvre un document dans un courriel d' hameçonnage, activant ainsi un logiciel malveillant.

Les conséquences : perturbation des services et arrêt quasi complet des réseaux.

Ce qui a mal tourné : les logiciels antivirus utilisaient des règles obsolètes qui n'ont pas permis de détecter les logiciels malveillants intégrés dans la pièce jointe malveillante. L'absence d'authentification multifactorielle a permis aux attaquants d'obtenir un accès initial. Passés inaperçus sur le réseau de l'entreprise pendant huit semaines, les cybercriminels ont effectué une reconnaissance du réseau et ont fini par compromettre un compte d'administrateur de domaine, ce qui leur a donné des privilèges élevés pour lancer un logiciel malveillant qui a mis hors service une grande partie de l'infrastructure informatique centrale et compromis les sauvegardes.

Comment travailler ensemble pour une meilleure défense :

  • CEO : soutenez la formation de sensibilisation à la sécurité dans toute l'organisation.
  • CIO : examinez les liens entre les systèmes informatiques et l'environnement de soins de santé.
  • CTO : évaluez la vulnérabilité des dispositifs médicaux dans un scénario qui cible les dispositifs.
  • COO : aidez le DSI et le CISO à évaluer les effets sur la sécurité des patients.
  • CISO : comblez les lacunes de sécurité entre l'informatique et les opérations de santé.
  • CDO : travaillez avec le COO, le CISO, le CPO pour évaluer les dommages causés par le vol/la corruption des données des clients.
  • CRO : effectuez un test de résilience avec les équipes de crise et continuité opérationnelles (BC/DR).
  • CFO : travaillez avec le CISO, le CIO sur toute divulgation aux régulateurs et au public. Revoir les cyber dépenses, y compris les cyber assurances, avec le CISO et le CIO à la lumière des vulnérabilités découvertes. Décider de la politique de paiement des ransomwares.
  • Board : obtenez des informations sur l'exercice de simulation de la direction pour se préparer à une attaque par ransomware. Confirmez quand le conseil d'administration sera informé d'un cyber incident ou d'une attaque par ransomware.

Guide de cybersécurité et de la protection de la vie privée dédié à la C-Suite

Obtenez le rapport complet et anticipez 2023 en termes de cyberrisques.

Téléchargez l'étude

Risques cyber : où en êtes-vous ?

Faites le test et découvrez-le instantanément. Utilisez l’outil d'évaluation et d’analyse comparative pour obtenir un benchmark en temps réel.

Faire le test

Méthodologie

L’édition 2023 de l’enquête Global Digital Trust Insights survey recueille les points de vue des cadres supérieurs sur les défis et les opportunités d’améliorer et de transformer la cybersécurité au sein de leur organisation au cours des 12 à 18 prochains mois.  L’enquête a été menée auprès de 3 522 répondants dans 65 pays. Les entreprises dont le chiffre d’affaires est supérieur à 1 milliard de dollars représentent 52 % des personnes interrogées ; 25 % ont des revenus supérieurs à 5 milliards de dollars.

Suivez-nous !

Contactez-nous

Jamal Basrire

Jamal Basrire

Associé responsable des activités Cyber Intelligence, PwC France et Maghreb

Tel : +33 1 56 57 87 92

Masquer