Le rôle du leadership 89% Le soutien de la direction est essentiel pour une cyberrésilience efficace. Contrairement aux phases d’anticipation et de résistance qui relèvent de la responsabilité du responsable de la sécurité des systèmes d’information ou du directeur des systèmes d’information, la phase de réaction exige une participation active des dirigeants. Depuis 2013, l’enquête a révélé des entreprises n’évaluent que 31% à 32% des répondants admettent se heurter à un manque de sensibilisation et de pas l’impact financier de chaque soutien des dirigeants susceptible de remettre en question l’efficacité de la cybersécurité infraction significative. de l’organisation. Ce constat, qui reste le même d’année en année, révèle que les mesures prises pour sortir de l’impasse n’ont pas été suffisantes ou qu’elles n’ont pas été suivies d’effets. La nécessité de transmettre l’information au plus haut niveau Notre enquête montre que 75% des responsables de la sécurité de l’information ne siègent pas au conseil d’administration. Cette faible représentation souligne la nécessité de formaliser l’information pour la transmettre, faute de pouvoir la présenter de vive voix. Notre enquête a révèlé que : • Seuls 25% des rapports fournissent une vue d’ensemble des menaces auxquelles 49% l’organisation doit faire face ; • Seuls 35% des rapports indiquent précisément les vulnérabilités du système d’information et proposent des mesures pour les corriger ; • 89% des organisations n’évaluent pas le préjudice financier de chacune des failles n’ont aucune idée du préjudice significatives de sécurité subies. Ainsi, parmi celles qui ont connu un incident au cours de financier susceptible d’être provoqué l’année, près de la moitié (49%) n’a aucune idée des dommages financiers susceptibles par une faille majeure de sécurité. d’être provoqués par cet incident. Compte tenu de ces marges d’amélioration, il n’est donc pas surprenant que 52% des répondants estiment que leurs dirigeants n’ont pas une connaissance, ni une compréhension complète des risques auxquels leur organisation fait face, ni des mesures mises en place pour les contrer. En d’autres termes, notre enquête suggère que près de la moitié des comités exécutifs marchent à l’aveugle sans connaître les grandes cybermenaces qui pèsent sur leur organisation. e 16 | 19 édition de l’étude EY sur la sécurité de l’information (2016)
Cap sur la cyberrésilience : anticiper, résister, réagir Page 15 Page 17