Dans le monde des affaires, les cadres et autres dirigeants sont de plus en plus conscients de la nécessité d’assurer une cybersécurité de pointe. Il ne suffit plus d’intervenir en cas d’incidents, ni même de tenir une discussion trimestrielle ou mensuelle sur la cybersécurité : celle-ci doit faire l’objet d’une attention constante, 24 heures sur 24.
« 35 % des conseils d’administration des participants discutent de cybersécurité à chacune de leur rencontre. »
À titre d’exemple, il suffit d’examiner les résultats d’un sondage récent mené auprès de 200 directeurs d’entreprise de la Bourse de New York et de Veracode. Ce rapport a conclu que 35 pour cent des réunions des conseils d’administration des participants traitent de cybersécurité à chaque rencontre. En outre, 46 pour cent des participants ont indiqué que la cybersécurité figurait généralement à l’ordre du jour de ces rencontres. Seulement 1 pour cent des participants ont mentionné que leur conseil d’administration n’abordait jamais la question de la cybersécurité.
Un certain nombre de facteurs contribuent à cette attention accrue de la part des dirigeants d’entreprise. Évidemment, il y a le fait que les cyberattaques deviennent plus courantes, causent davantage de dommages et sont plus répandues que jamais. À peu près toutes les entreprises, sans égard à leur taille ou à leur secteur d’activité, disposent maintenant d’une quantité énorme d’informations qui peuvent s’avérer extrêmement utiles pour les cybercriminels.
Un autre facteur clé, notamment du point de vue des chefs d’entreprise, est que les cadres seront souvent blâmés advenant une atteinte à la protection des données. L’événement qui a sans doute retenu le plus d’attention est la démission du PDG et celle du dirigeant principal de l’Information de Target dans la foulée de l’atteinte à la protection des données de l’entreprise survenue l’année dernière, comme rapporté par CSO Online. Naturellement, ce genre d’incidents fera prendre conscience aux cadres de la nécessité de protéger leurs entreprises contre les cyberattaques.
« C’est devenu un problème très sérieux », a indiqué Chris Wysopal, dirigeant principal de la Technologie et cofondateur de Veracode, a souligné la source. « Ce n’est pas juste un problème de TI, ni un problème de politique ou de conformité. C’est devenu un risque d’entreprise. »
Risques de cybersécurité
Parallèlement, le sondage mené par NYSE et Veracode a toutefois laissé entendre que les dirigeants d’entreprise ne font pas que s’intéresser à la cybersécurité : ils s’en préoccupent aussi. Deux tiers des membres des conseils d’administration participants ne font pas confiance aux capacités de leur entreprise pour parer aux cybermenaces.
Cette situation a de nombreuses conséquences. D’abord, cela donne à penser que les discussions fréquentes qu’ont les conseils d’administration sur la question de la cybersécurité n’amènent pas d’améliorations suffisantes aux cyberdéfenses des organisations. Cela s’explique probablement par l’absence de mesures suffisantes de la part des dirigeants d’entreprise ainsi que par des mesures de cybersécurité qui laissent à désirer.
S’adressant à CSO Online, M. Wysopal a souligné que ces craintes, associées à l’attention grandissante accordée à la cybersécurité, risquent d’augmenter les budgets affectés à la sécurité de la TI des entreprises dans les prochaines années. Cette action aura certainement une incidence positive sur les capacités des sociétés de se protéger contre les menaces. Toutefois, pour que ces budgets accrus mènent à de meilleures défenses, les entreprises doivent affecter judicieusement ces ressources.
Elles doivent notamment s’assurer que la cybersécurité touche l’ensemble de l’organisation. Cela veut dire qu’en plus d’embaucher davantage de spécialistes en sécurité de la TI et de mettre à niveau les outils de lutte contre les programmes malveillants et les virus, les entreprises doivent veiller à que tous les employés suivent régulièrement une formation de sensibilisation à la sécurité. Cet accent mis sur l’effectif global peut réduire considérablement le risque qu’une erreur commise par un travailleur mène à une atteinte à la protection des données, laquelle pourrait avoir des conséquences désastreuses pour les dirigeants de l’entreprise et l’organisation dans son ensemble.