TECH NEWS

ENQUÊTE – CYBERSÉCURITÉ : Comment surmonter les conflits d’intérêts qui existent au sein des organisations ? 

Devoteam, acteur majeur du conseil en technologies innovantes et management […]

June 10, 2020

Devoteam, acteur majeur du conseil en technologies innovantes et management pour les entreprises, publie aujourd’hui les résultats d’une enquête conduite en Europe et au Moyen-Orient sur le thème de « Un plan pour la transformation de la sécurité ». Cette dernière révèle qu’un mur d’incompréhensions persiste entre les décideurs Sécurité et les décideurs Business et IT, dont beaucoup perçoivent encore la sécurité comme une contrainte.

Parmi les enseignements clés, cette enquête :

● Met en évidence des priorités contradictoires en fonction des profils de décideurs.

Si les groupes de parties prenantes interrogés s’alignent sur les principaux objectifs de la transformation digitale, à savoir qu’elle permet de tirer parti des opportunités offertes par les nouvelles technologies en termes d’innovation, de réinvention et d’optimisation des processus, et d’amélioration des expériences clients et utilisateurs; chaque famille de décideurs lui attribue une priorité différente.

58,28 % des décideurs Business attendent d’elle une meilleure implication des métiers. Pour 61,97 % des Décideurs IT, l’intégration des systèmes est l’objectif qui prime quand pour les décideurs Sécurité, c’est la sécurité de l’information qui est attendue avant tout (pour 65,28 % d’entre eux). Ainsi, on constate que les priorités concurrentes deviennent un obstacle à la transformation réussie de l’entreprise.

La mise en conformité réglementaire et le réalignement de l’activité sur les canaux digitaux font partie des priorités placées en 2ème ou 3ème position par l’ensemble des décideurs.

● Rappelle la complexité pour les organisations de trouver où placer le curseur.

Les contraintes budgétaires sont des obstacles permanents à l’amélioration de la sécurité dans les organisations. 47,09 % des décideurs, toutes fonctions confondues, placent le budget en pôle position des freins, devant le manque de compétences (40,93 %) et la fragmentation et le manque d’intégration des solutions de sécurité (39,93 %).

Pourtant chaque catégorie de décideurs a ses propres priorités. Pour les décideurs Business, les principaux freins à l’amélioration de la sécurité en entreprise sont : 1. les contraintes budgétaires (52,98 %), 2. le manque de compétences (43,71 %), 3. la difficulté à arbitrer entre la sécurité et les priorités business (41,72 %).

Pour les fonctions Sécurité, les contraintes budgétaires sont bel et bien le frein #1 (50,93 %) mais elles classent en deuxième et troisième position respectivement la fragmentation et le manque d’intégration des solutions de sécurité (43,2 %) et le manque de compétences (39,81 %).

Enfin, pour les décideurs IT, les contraintes budgétaires (39,74 %) passent après la fragmentation et le manque d’intégration des solutions de sécurité et le manque de compétences qui se classent ex aequo (40,17%).

Ces chiffres démontrent à quel point trouver le point d’équilibre entre sécurité et atteinte de l’efficacité opérationnelle est un défi difficile à relever pour la plupart des organisations.

Révèle un impératif clé : celui d’intégrer la sécurité dès la planification de tout nouveau développement

Bien que la plupart des organisations s’accordent sur les bienfaits de la sécurité “by design”, dans la réalité, peu l’ont véritablement mise en pratique. Lorsqu’il s’agit de nouveaux projets et initiatives, la sécurité reste une pensée après coup pour plus d’un tiers des organisations.

La sécurité “by design” est utilisée à tous les niveaux de l’entreprise dans seulement 13 % des organisation, même si près de la moitié d’entre elles (49,78%) l’adoptent de manière ponctuelle ou au cas par cas.

L’enquête révèle également en effet que si 92,2% des organisations prennent en compte l’analyse de risques pour orienter les décisions d’investissements – et si 81,4% d’entre elles estiment que leur approche de la cybersécurité est déjà alignée sur une politique de gestion des risques; seules 26% des organisations prennent en compte la cybersécurité dès la planification de toute nouvelle initiative business.

● Invite à repenser la gouvernance de la cybersécurité.

Ni garde-fou, ni pompier, le RSSI a un rôle fondamental à jouer. Disposant d’une meilleure vision du risque, le RSSI est un acteur clé au sein de l’entreprise car il est le seul capable de transposer les cybers menaces en risques Business et de préconiser des solutions convenablement dimensionnées. C’est à lui qu’il appartient de porter cette approche de la cybersécurité par le risque et de la diffuser à tous les niveaux de l’organisation à travers des outils et, surtout, une prise de conscience culturelle. Avec pour ambition, la réduction des conflits d’intérêts au sein de l’organisation.

[toggle title =”Méthodologie“]Enquête conduite du 22/08/2019 au 19/09/2019 en France, Norvège, Danemark, Autriche, Allemagne, Suisse, Belgique, Luxembourg et Arabie-Saoudite – L’Institut de sondage IDC a interrogé pour le compte de Devoteam 601 décideurs d’entreprises européennes et moyen-orientales de plus de 500 collaborateurs. Les personnes interrogées ont été regroupées en trois populations distinctes : Business (PDG, DG, DAF, responsables métiers…), IT (DSI et autres responsables informatiques) et Sécurité (RSSI et autres responsables sécurité). Les répondants ont été interrogés sur un large éventail de facteurs liés à leur l’approche des organisations en matière de sécurité et l’alignement des objectifs de sécurité avec les objectifs de transformation digitale et commerciaux.[/toggle]

Préambule

Si cette étude a été réalisée avant la crise du coronavirus, ses résultats n’en sont que plus précieux. Avec la multiplication des cyber-attaques pendant le COVID-19, cet épisode a malheureusement démontré que notre résilience repose de plus en plus sur des systèmes digitaux, et donc sur notre capacité à les protéger face à des menaces que la crise ne fait qu’exacerber. Pourtant, l’enjeu, pour une entreprise n’est pas de limiter les dégâts, mais bien de rester compétitive quoi qu’il arrive.

La transformation digitale cristallisée par les cultures et les objectifs Métiers…

Si 100 % des personnes interrogées affirment avoir mis en œuvre un programme de transformation digitale au sein de leur organisation, ce score cache une autre réalité car les sondés n’y donnent pas le même sens. Cela repose notamment sur le fait que leurs fonctions diffèrent. Pour les décideurs Business, la transformation digitale signifie en priorité « innover, développer de nouveaux produits/services, accélérer le time-to market » (62,3 % d’entre eux ) alors que le même pourcentage de décideurs IT pensent qu’il s’agit avant tout d’« améliorer l’expérience utilisateur pour accroître la satisfaction et/ou l’engagement » . En parallèle, pour près de deux tiers des fonctions Sécurité (65,9 %), c’est d’abord « prendre davantage de décisions en s’appuyant sur les données ».

… et des attentes qui divergent

Les fonctions Business attendent en priorité de la transformation digitale une « meilleure implication des métiers », quand pour les fonctions IT, « l’intégration des systèmes » reste l’objectif #1. Sans surprise, les fonctions Sécurité souhaitent elles avant tout qu’elle permette d’ « assurer la sécurité de l’information au sein de l’organisation ».

[toggle title =”Des conflits d’intérêt difficiles à surmonter“]Les caractéristiques intrinsèques des métiers et l’essence même des objectifs liés à chaque fonction rendent l’équation “Risques versus Agilité” difficile à résoudre. Un constat posé par l’ensemble des fonctions de l’organisation. Si pour 62,8 % des sondés, « innover, développer de nouveaux produits/services, accélérer le time-to market » est l’objectif #1 de la transformation digitale, 67 % estiment néanmoins que la réconciliation de priorités concurrentes est l’obstacle principal majeur à la mise en œuvre d’une transformation digitale efficace.[/toggle]

La cybersécurité : un risque pas aussi bien appréhendé que certains le pensent

Si l’amélioration de l’efficacité opérationnelle est l’objectif principal de toutes les fonctions (24,96 %), elle n’est pas pleinement perçue comme porteuse de valeur. Pour cette raison, elle se retrouve trop souvent sacrifiée à d’autres enjeux. À cela s’ajoutent les contraintes budgétaires, la fragmentation et le manque d’intégration des solutions de sécurité et le manque de compétences. Autant de freins qui empêchent d’aller au-delà de ce qu’exigent la réglementation et les instances de contrôle en la matière.

La nécessité de passer de la notion absolue de sécurité à la notion relative du risque…

Traduite en risques, la sécurité IT n’est plus une contrainte obscure et coûteuse, mais un élément objectif de pilotage. Adopter une approche basée sur les risques permet d’expliciter les impacts potentiels sur le business. L’enjeu devient alors compréhensible par tous, mesurable et comparable, de sorte que l’entreprise peut se fixer des objectifs, des règles claires et mesurer les progrès accomplis au regard des investissements consentis.

… et d’intégrer la sécurité dès la planification de tout nouveau développement

La cybersécurité ne doit pas être une option. Pourtant si plus de la moitié des décideurs interrogés sont convaincus du fait que l’intégration de la sécurité dès la planification d’un nouveau développement est source de valeurs ; là encore dans les faits cela reste un véritable challenge : seule 1 entreprise sur 10 s’empare du sujet à ce stade (13 %) et 50 % supplémentaires l’adoptent au cas par cas.

[colored_box color=”blue”]En matière de gestion des risques, adopter une approche basée sur les risques pour expliciter les impacts business est le point de départ essentiel pour une approche efficace de la cybersécurité.[/colored_box]

 

Une métamorphose engagée … mais un appât du gain qui persiste

En matière de sécurité, les lignes commencent à bouger. Elle ne doit pas être l’affaire d’un seul homme mais faire partie intégrante de la culture de chaque métier. Les organisations ont d’ailleurs amorcé sa migration vers la phase initiale de construction de la plateforme numérique, ce qui est bon signe. Toutes fonctions confondues, les organisations sont près de 26% à l’intégrer dès la conception (37,7 % des fonctions Business, 27,3 % des fonctions Sécurité et 23,2 % des fonctions IT).

Malgré les promesses de transformation sécurisée du lieu de travail, dans un marché de plus en plus compétitif, les organisations sont malheureusement toujours prêtes à sacrifier la sécurité des utilisateurs pour soutenir des initiatives commerciales. Seul le DSI est plus prêt à affronter les risques réglementaires que la sécurité des utilisateurs.

Repenser la gouvernance de la cybersécurité pour accélérer le changement

Si les responsables de la sécurité informatique et les principaux responsables informatiques sont alignés sur l’avantage que représente une approche formelle et enracinée de la sécurité ; au-delà de cet objectif central, leurs points de vue diffèrent lorsqu’on les interroge sur ce qui est le plus important en matière de sécurité des opérations.

Les responsables de la sécurité mettent un fort accent sur l’intégration de la sécurité à l’échelle globale de l’entreprise (intégration et optimisation en soutien du Business). Les fonctions IT sont au fait du défi que représente le maintien d’une équipe dédiée et sont plus enclines à externaliser des pans clés à des prestataires de services de sécurité qu’ils pourront superviser.

Le RSSI, l’indispensable médiateur

Disposant d’une meilleure vision du risque, le RSSI est un acteur clé au sein de l’entreprise car il est le seul capable de transposer les cybers menaces en risques Business. C’est à lui qu’appartient de porter cette approche de la cybersécurité par le risque et de la diffuser à tous les niveaux de l’organisation à travers des outils et une prise de conscience culturelle. C’est d’ailleurs le rôle principal que lui assignent en priorité les décideurs interrogés : « Coopérer avec les métiers pour qu’ils inscrivent leurs activités dans un cadre de risque accepté » (47 %), devant « Réduire la probabilité des menaces (internes et externes) qui pèsent sur l’entreprise et ses actifs » (45 %) et « Intégrer la sécurité dans l’environnement » de l’entreprise pour réduire les coûts et accroître l’efficacité (43 %).

[colored_box color=”blue”]« […] Il est fondamental de repenser la gouvernance de la cybersécurité. En séparant l’IT et la sécurité, on élimine les conflits d’intérêt. En adaptant son discours et ses arguments, en se concentrant sur la notion de risque, connue et acceptée, plutôt que sur celle de sécurité, plus vague et démobilisatrice, le RSSI serait alors en mesure d’obtenir directement l’adhésion de l’entreprise et de sa direction générale. Fort de cet appui, il pourrait alors spécifier ses exigences à l’informatique, qui, en tant que prestataire de services, répondrait à cette une demande formelle. », explique Martin Esslinger, Partner, Devoteam[/colored_box]

 

[toggle title =”Informations complémentaires“]L’étude fera l’objet de trois livres blancs, non pour entretenir un faux suspense mais pour mettre chaque fois l’accent sur une dimension fondamentale de l’étude . La première concerne la gestion du risque et l’impact business, la deuxième la sécurisation de la transformation digitale et digitalisation de la sécurité, et la troisième DevSecOps et l’excellence opérationnelle de la sécurité.[/toggle]

Watch video

In the same category