Bruxelles, le 19 septembre 2024 – Trend Micro Incorporated (TYO : 4704 ; TSE :4704), un leader mondial dans le domaine de la cybersécurité, a annoncé aujourd’hui les résultats d’une étude. Celle-ci révèle que les organisations internationales manquent de ressources et d’implication de leur leadership pour mesurer et atténuer le risque sur toute leur surface d’exposition aux attaques numériques.

Trend Micro a interrogé 2 600 leaders IT internationaux chargés de la cybersécurité au sein d’organisations de petite, moyenne et grande taille, dont 100 belges, afin de mieux comprendre leurs attitudes vis-à-vis de la gestion de la surface d’exposition aux attaques numériques (ASRM, attack surface risk management).

Les trois failles principales en matière de cyber-résilience pointées par les répondants belges concernaient les critères suivants :

• Des effectifs suffisants pour assurer la cybersécurité en permanence (seuls 36 % en disposent)
• Des techniques de gestion de la surface d’exposition pour mesurer le risque auquel elle expose l’entreprise (21 %)
• L’usage d’un cadre règlementaire et d’autres cadres éprouvés, tels que le NIST Cybersecurity Framework (26 %).

L’incapacité de la plupart des entreprises mondiales à maîtriser ces bases de la cybersécurité peut s’expliquer par un manque de leadership et de responsabilité au sommet de l’organisation. La moitié (53 %) des répondants belges ont affirmé que leur hiérarchie ne considère pas que la cybersécurité relève de sa responsabilité.

À la question de savoir qui est ou devrait être responsable de l’atténuation du risque commercial, les répondants ont fourni plusieurs réponses. Une diversité qui indique un manque de clarté dans les lignes de reporting à la hiérarchie. Près d’un tiers (29 %) ont déclaré que la responsabilité s’arrête aux équipes IT de l’organisation.

Ce manque de clarté en matière de stratégie de cybersécurité pourrait expliquer pourquoi plus de la moitié (60 %) des répondants belges se sont plaints de l’attitude inconstante de leur organisation envers le cyber-risque, variant d’un mois à l’autre.

« Un manque de leadership clair en termes de cybersécurité peut exercer un effet paralysant sur l’organisation. Ce qui entraîne une prise de décision réactive, fragmentée et hasardeuse. Les CISO des entreprises doivent communiquer explicitement sur le cyber-risque en termes de risque commercial, de façon à ce que les administrateurs s’impliquent », explique Pieter Molen, Technical Director Benelux de Trend Micro. « Idéalement, les entreprises devraient disposer d’une seule source de vérité pour toute leur surface d’exposition, qui permette de faire le point avec le conseil, de surveiller le risque en permanence et de résoudre les problèmes automatiquement pour une meilleure cyber-résilience. »

Malheureusement, l’étude a révélé que ce n’était pas le cas dans bon nombre d’organisations. Quelque 98 % des répondants se font du souci quant à leur surface d’exposition. Près de 2/5 d’entre eux (39 %) aimeraient avoir un moyen d’identifier, d’évaluer et de restreindre les domaines à haut risque, tandis qu’un quart (25 %) n’est pas en mesure de travailler à partir d’une source unique de vérité.

Pour lire l’étude dans son intégralité, consultez : https://www.trendmicro.com/explore/thecisocredibilitygap/2774-v1-en-rpt