Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : les RSSI face à un déficit de budget… et d'influence

Étude Une étude mondiale menée par le cabinet de conseil EY auprès des responsables de la sécurité des systèmes d'information dépeint le tableau d'une profession sous pression : appelée sur tous les fronts, sous-staffée et sous-financée, de plus en plus stressée, soumise à des menaces multiples, et en manque de légitimité stratégique dans l'entreprise.
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : les RSSI face à un déficit de budget… et d'influence
Cybersécurité : les RSSI face à un déficit de budget… et d'influence © Microsoft

"Les résultats de notre étude sont un signal d'alarme. Les rançongiciels, les vols de données et leurs impacts dictent le tempo". Marc Ayadi, associé et responsable cybersécurité pour la zone EMEA chez EY Consulting, dresse un bilan préoccupant de l'enquête mondiale réalisée par EY auprès de 1400 responsables de la sécurité des systèmes d'information (RSSI) et cadres de la cybersécurité entre mars et mai 2021.

Des retards difficiles à rattraper
Premier enseignement, sans surprise, la pandémie s'est accompagnée d'"une augmentation significative du nombre de cyberattaques". 82% des entreprises ont constaté une augmentation du nombre d’attaques jugées déstabilisatrices, et 47% des sondés sont plus préoccupés que jamais par la capacité de leur entreprise à gérer les cybermenaces. Le télétravail a accru les risques de compromissions, mais les rançongiciels restent tout aussi préoccupants depuis la fin des confinements. "Il reste une dette de sécurité du Covid. Le retard pris pendant les confinements rend la chose plus difficile à maîtriser par les RSSI", estime Marc Ayadi. 

En outre, le déficit chronique d'expertise s'aggrave. La France n'est pas la seule à la subir, il s'agit d'un phénomène mondial. Les compétences manquent sur le marché du travail, à la fois en raison d'une augmentation de la demande, d'un manque de vocations, de l'inertie liée à la durée des formations (entre trois et cinq ans), et de l'exigence des recrutements. "On ne recrute pas un expert en sécurité comme on recrute un expert en IT compte tenu de la pression générée par la présence constante de menaces cyber", commente Marc Ayadi auprès de l'Usine Digitale.

Durant la crise du Covid-19, de nouvelles vulnérabilités sont apparues. Mais pendant ce temps, les entreprises ont continué à se transformer, sans prendre le temps d'évaluer les impacts potentiels en termes de sécurité informatique selon 59% des personnes interrogées. 

Les budgets ne sont pas seuls en cause
36% des RSSI préviennent ainsi que le budget de leur entreprise n'est pas suffisant pour gérer ces nouveaux défis. En France, 39% s'attendent à subir une attaque majeure qui pourrait être évitée grâce à de meilleurs investissements et une plus grande mobilisation. Le sous-financement est ainsi l'un des défis majeurs à résoudre pour les directions sécurité, obligées de faire des compromis entre investir dans de nouvelles initiatives et colmater les risques existants.

"Le manque de financement est structurel, mais ce qui ressort surtout de l'étude, c'est un problème au niveau du partage des coûts entre les projets. Les RSSI doivent avoir la capacité de convaincre, afin d'intégrer un budget sécurité à chaque projet. Ce n'est pas aux RSSI de porter ces budgets en intégralité. Les mettre à la tête d'un budget énorme – et il a progressé ces dernières années – ne règlerait pas le problème", explique Marc Ayadi, même s'il estime qu'il faudrait sans doute l'augmenter encore de 3 à 5% pour bien faire. 

"Aujourd'hui les RSSI passent beaucoup de temps à essayer de convaincre a posteriori, ce qui rend leur travail compliqué", alors qu'il faudrait créer la confiance nécessaire afin d'impliquer la cybersécurité dans le processus de décision, très en amont. "Le budget est important, mais il ne faut pas négliger le relationnel". Or, 77% des sondés disent ne pas être au courant des projets avant leur phase de réalisation, et seulement 19% des organisations incluent la cybersécurité dans la phase de planification d’un programme de transformation digitale.

Sous-traitants et fournisseurs sous surveillance
A cela s'ajoutent deux autres défis : la multiplication des réglementations, différentes selon les pays, qui complique la mise en conformité et devient extrêmement difficile à gérer ; et la hausse des attaques visant la chaîne d'approvisionnement, qui correspond à ce que l'on appelle le "risque de tiers". Face à ces nouvelles menaces sont apparues des agences de notation des fournisseurs spécialisées dans le risque cyber, telles que Cyrating ou BitSight.

Les RSSI sont également de plus en plus nombreux à imposer à leurs sous-traitants de nouvelles obligations de sécurité. Ce qui, selon Marc Ayadi, rejoint la problématique de la capacité des RSSI à faire de la sécurité l'affaire de tous et à agir sur leur écosystème, afin de s'imposer comme un véritable partenaire stratégique.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.