Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
- 45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
- Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
- Le fabricant aérospatial autrichien FACC
- Sony
- Target
- Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
- 44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
- 40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
- 70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
- 64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
- 47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
- 56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
- Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
- 40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.