« La moitié des responsables de la sécurité informatique belges déclarent que les cybermenaces constituent un risque très sérieux pour les entreprises. Pourtant, les directions refusent de les écouter. Ils sont ignorés, rabaissés et les directions leur rétorquent qu’ils exagèrent », déclare Pieter Molen, Technical Director chez Trend Micro Benelux. « S’ils ne parviennent pas à mieux collaborer avec les directions, la cyber-résilience de leur entreprise en pâtit. La première étape consiste à mettre en place une Single Source of Truth (source unique de vérité) sur l’ensemble de la surface d’attaque. »

Pour 43 % des responsables de la sécurité informatique en Belgique, la principale raison qui pousse à minimiser la gravité d’un cyberrisque est la crainte de faire des recommandations erronées. Parmi ceux qui ressentent également une pression de la part de leur direction, 41 % indiquent qu’ils sont perçus comme trop pessimistes. 33 % sont accusés de se répéter ou de se plaindre. Et 4 experts sur 10 affirment que leurs inquiétudes ont été purement et simplement rejetées.

Cette situation indique un grand manque de crédibilité. Les entreprises ne considèrent pas que les cyberrisque sont aussi sérieux que les autres risques. 42 % des entreprises déclarent que lorsqu’elles peuvent mesurer la valeur commerciale de leur stratégie de cybersécurité, elles y sont plus attentives.

Cette approche présente d’autres avantages pour les responsables de la sécurité informatique :

• ils se voient confier plus de responsabilités (39 %)
• leur travail est davantage valorisé (40 %)
• ils ont accès à un budget plus important (39 %)
• ils sont plus susceptibles d’être impliqués dans la prise de décision (39 %)

Pourtant, la communication entre le département IT et la direction des entreprises laisse encore à désirer.

Seule la moitié (50 %) des personnes interrogées estiment que leur direction comprend parfaitement les cyberrisques auxquels l’organisation est confrontée – un chiffre qui n’a guère changé depuis 2021. Plus d’un tiers (36 %) des personnes interrogées déclarent que la cybersécurité est toujours considérée comme une simple question IT et non comme un risque pour l’entreprise.

En outre, 39 % pensent que seules une violation grave et la couverture médiatique de cette violation (38 %) inciteraient le management à prendre des mesures plus fortes pour lutter contre les cyberrisques. L’environnement hétérogène de la cybersécurité peut exacerber ces défis. La coexistence de plusieurs solutions ponctuelles sur la surface d’attaque crée des points de données incohérents. Il devient donc difficile d’expliquer clairement les cyberrisques à la direction.

Plus de la moitié des personnes interrogées (53 %) estiment qu’elles doivent acquérir plus de compétences communicationnelles. Une plateforme unifiée comme l’Attack Surface Risk Management (ASRM) pourrait réduire les investissements nécessaires en fournissant un tableau de bord rassemblant les informations cohérentes et convaincantes.

Cliquez ici pour plus d’informations sur l’étude.