Selon la dernière édition de l’étude d’EY consacrée à la cybersécurité « EY Global Information Security Survey (GISS) », en dépit de l’augmentation croissante des cyber-attaques, un tiers seulement des organisations indiquent que la fonction cybersécurité est impliquée durant la phase de planification de toute nouvelle initiative commerciale.

L’édition de cette année, qui a sondé presque 1.300 responsables de la cybersécurité au sein de grandes organisations mondiales, a montré que presque 60% des organisations ont été confrontées à un nombre croissant d’attaques assez significatives au cours des 12 derniers mois. En outre, au cours de l’année écoulée, des activistes ont été responsables de 21% des attaques réussies, suivant de près les groupes appartenant au crime organisé (23%). L’an dernier, 12% seulement des sondés considéraient que les activistes étaient la source la plus probable d’attaques.

En dépit des risques en augmentation, 36% seulement des nouvelles initiatives commerciales incluent l’équipe sécurité dès le départ. Thomas Koch, Cybersecurity Leader chez EY Luxembourg, commente : « La cybersécurité a traditionnellement été une activité liée à la conformité, prenant davantage la forme d’une liste de vérification à cocher qu’une initiative commerciale utilisant la technologie. Ce n’est pas un modèle durable. Pour espérer avoir une longueur d’avance sur la menace, nous devons nous concentrer sur la création d’une culture de la sécurité dès la conception du projet. Cela peut se concrétiser seulement si nous parvenons à combler le fossé entre la fonction sécurité et le management, en donnant au Responsable de la sécurité de l’information (« CISO ») un rôle de consultant actif, au lieu du stéréotype de celui qui fait systématiquement barrage. »

Selon l’étude, alors que les équipes de cybersécurité ont en général de bonnes relations avec les fonctions connexes telles que l’IT, les risques et le juridique, il existe une déconnection avec les autres composantes de l’entreprise. Près de trois-quarts des sondés (74%) indiquent que la relation entre la cybersécurité et le marketing est neutre, dans le meilleur des cas, si ce n’est de défiance ou inexistante, alors que 64% d’entre eux ont les mêmes commentaires à propos de l’équipe recherche et développement et 59% pour les lignes métier. Plus de la moitié (57%) indiquent que leur relation avec la finance, de laquelle ils dépendent pour l’approbation de leurs budgets, est également tendue.

Thomas Koch conclut : « A l’heure où les entreprises traversent une phase de transformation, il est nécessaire de tisser des relations de confiance entre chaque fonction de l’organisation, en commençant par le Conseil d’Administration afin d’établir la cybersécurité en tant qu’élément moteur déterminant. Les Conseils, les équipes de direction expérimentées, les CISO et autres décideurs de ce secteur doivent collaborer afin de placer la cybersécurité au cœur de la transformation commerciale et de l’innovation ».