Une étude a révélé que 91 % des PDG considèrent la sécurité informatique comme une fonction technique qui relève du problème du DSI ou du RSSI, ce qui signifie que les responsables informatiques ont encore du travail à faire pour impliquer les cadres supérieurs et les conseils d’administration.
La peur et les aspects plus techniques de la cybersécurité empêchent toujours les PDG australiens de s’engager plus profondément dans les risques liés à la cybersécurité, malgré une série de cyberattaques très médiatisées qui ont frappé des marques australiennes, notamment Optus et Medibank, ainsi que des millions de leurs clients.
Nouvelle recherche du cabinet de conseil Accenture a constaté que seul un PDG australien sur cinq (19 %) consacre actuellement des réunions de conseil d’administration à la discussion des questions de cybersécurité, tandis que 34 % pensent que la cybersécurité n’est pas une question stratégique et nécessite une attention épisodique plutôt que continue.
Les résultats indiquent que, malgré une augmentation coûts de violation de données en Australie et un paysage de menaces en évolution rapide, y compris un escalade potentielle des attaques d’ingénierie sociale due à l’IA générativeles PDG locaux n’adoptent pas une approche « toujours active » pour évaluer et atténuer les cyber-risques.
Les responsables informatiques peuvent jouer un rôle dans l’augmentation de l’engagement contre les cyber-risques en parlant dans un langage que les PDG comprennent, en dialoguant avec les conseils d’administration inquiets de leur propre responsabilité et en étant clairs sur les meilleures pratiques et les niveaux d’investissement qu’ils devraient cibler dans leur organisation.
Les PDG ne s’approprient toujours pas les risques liés à la cybersécurité
Les conclusions australiennes d’Accenture, tirées d’une enquête menée auprès de 1 000 PDG de grandes entreprises du monde entier pour son rapport The Cyber-Resilient CEO, révèlent que 91 % des PDG pensent toujours que la cybersécurité est une fonction technique qui relève de la responsabilité du RSSI ou du DSI, et non de la leur. .
Seul un tiers (28 %) des PDG australiens affirment avoir une connaissance approfondie du paysage changeant des cybermenaces auquel ils sont confrontés. Dans le même temps, 93 % d’entre eux n’avaient pas confiance dans la capacité de leur organisation à prévenir ou à atténuer de futures cyberattaques.
VOIR : Est-ce que la récupération rapide des données est le meilleur espoir de l’Australie contre les ransomwares?
Jacqui Kernot, directrice de la sécurité d’Accenture pour l’Australie et la Nouvelle-Zélande, a déclaré à TechRepublic que malgré les risques et les coûts associés au fait d’être victime d’une cyberattaque, la cybersécurité ne recevait toujours pas le niveau d’attention qu’elle devrait recevoir au niveau du PDG.
« Il est assez effrayant de constater que même après tout le bruit dans la presse et les violations vraiment visibles, nous n’avons toujours pas obtenu l’appui et l’enthousiasme de notre population de PDG », a déclaré Kernot. « Mon point de vue est que nous devons vraiment réfléchir aux raisons pour lesquelles cela n’a pas tellement changé et à la manière de responsabiliser nos PDG. »
La sécurité informatique reste un « art noir » pour les PDG
La fonction de sécurité informatique est devenue un « art noir » plein de mystère et de peur pour les étrangers, y compris les PDG non techniques, a déclaré Kernot. Les PDG qui ne s’intéressent pas aux cyber-risques étaient comme des gens qui confiaient leur PC à un expert technique pour le faire réparer, plutôt que de le réparer eux-mêmes.
La nature technique de la sécurité et le langage des experts en sécurité pourraient compliquer excessivement la sensibilisation à la cybersécurité, a déclaré Kernot. Cela dit, une nouvelle génération de natifs du numérique qui comprennent la technologie contribuent à créer un changement culturel et pourraient contribuer à impliquer les PDG.
Les PDG ne se soucient pas des craintes en matière de sécurité
Des violations récentes et très médiatisées élargir la réglementation et les sanctions avait plongé la majorité des PDG dans une « légère forme de panique », a déclaré Kernot. Elle a déclaré qu’aucun PDG ne voulait passer à la télévision pour gérer un violation de donnéeset l’on a reconnu l’impact qu’un tel événement pourrait avoir sur les cours des actions.
VOIR : Que peuvent faire les responsables informatiques à propos du augmentation des coûts des violations de données en Australie?
L’inconfort a poussé certains PDG à se pencher sur la situation et à accroître leurs connaissances en matière de cybersécurité. Cependant, Kernot a déclaré que, comme le démontrent les résultats de l’enquête, nombreux sont ceux qui étaient « … assez terrifiés et se replient parce que c’est quelque chose qu’ils ne comprennent pas ».
Les responsables informatiques peuvent sensibiliser les PDG et les conseils d’administration à la sécurité
Les PDG devront à l’avenir s’approprier davantage les risques liés à la cybersécurité. Mais les DSI et les RSSI devront peut-être travailler pour y parvenir. Ils devront exiger davantage d’audience avec le PDG pour faire progresser les programmes de bonnes pratiques en matière de cybersécurité au sein de leurs organisations.
Kernot a déclaré qu’il y avait une série de choses qui pourraient soutenir une plus grande sensibilisation à la sécurité au sommet. Cela pourrait inclure de donner aux RSSI une ligne directe avec le PDG et le conseil d’administration, plutôt que par l’intermédiaire d’un CIO, pour garantir que les rapports sur la cybersécurité reçoivent l’attention qu’ils méritent désormais.
Comprendre et combler les lacunes en matière de cybersécurité
Kernot recommande aux responsables informatiques d’examiner les meilleures approches telles que les évaluations de maturité du NIST ou celles de l’Australie. Cadre d’exercices axés sur le renseignement sur la cyber-résilience opérationnelle aux institutions financières d’établir quelle était l’écart pour leur propre organisation.
Cela permettrait aux DSI et RSSI de déterminer clairement l’amélioration dont ils ont besoin de la part de leur PDG. Si le PDG décide alors de ne pas le financer, il serait au moins clair que les responsables informatiques savaient qu’il y avait un problème et ont essayé de l’atténuer, plutôt que d’en être blâmés, a déclaré Kernot.
« Si vous ne savez pas clairement ce dont vous avez besoin, votre budget et quels sont les risques si vous ne l’obtenez pas, vous risquez de faire partie du problème », a déclaré Kernot. « Vous devez être proactif dans vos recommandations sur ce qui doit se produire. Vous devez être clair sur ce qui est nécessaire pour accomplir le travail.
Parlez dans le langage des PDG, pas dans le jargon de la sécurité
Les professionnels de la sécurité doivent minimiser le jargon – comme parler de « gestion de la surface d’attaque » – et communiquer dans des termes que les PDG et les conseils d’administration comprennent. Cela inclurait des termes tels que la gestion des risques, la réduction des coûts, la rationalisation et l’augmentation de la visibilité en cas de crise.
VOIR: De grosses dépenses en matière de sécurité cela ne suffira peut-être pas aux entreprises australiennes et néo-zélandaises.
Kernot a déclaré que ce changement consistait à comprendre la complexité et à aider les PDG à la gérer sans la compliquer excessivement.
« Il s’agit vraiment de réfléchir à ce que le PDG envisage, à ce que son travail doit gérer et à la manière dont vous intégrez votre travail dans ce qu’il gère », a déclaré Kernot.
Appel aux conseils d’administration ainsi qu’aux PDG
Les RSSI trouveront des alliés intéressés au sein des conseils d’administration, a déclaré Kernot, qui sont désormais « absolument préoccupés » par la cybersécurité. La Commission australienne des valeurs mobilières et des investissements a récemment j’avais prévenu qu’il s’en prendrait aux planches; des réglementations telles que CPS 234 pour les entités réglementées par l’APRA confèrent la responsabilité de la sécurité de l’information aux conseils d’administration.
« Je n’ai pas rencontré d’administrateurs du conseil d’administration qui ne s’inquiètent pas de cela et de leur responsabilité personnelle, et ils font leurs propres devoirs », a déclaré Kernot. « En tant que professionnel de l’informatique, vous avez la possibilité d’orienter et de diriger leur réflexion et d’amener l’entreprise là où elle doit être. »
Kernot a déclaré que les responsables informatiques qui ne passaient pas de temps devant le conseil d’administration et le PDG dans cet environnement manquaient une opportunité.
« Ils sont tous inquiets, et soit vous les aidez à se sentir plus à l’aise, soit vous les laissez paniquer en votre absence », a déclaré Kernot.
Exécutez des cybersimulations pour stimuler l’engagement face aux risques
Les simulations de cybersécurité constituent l’un des moyens les plus efficaces et les plus rentables d’accroître l’engagement des conseils d’administration et des dirigeants dans la cybersécurité. Kernot a déclaré que les organisations qui le font sont susceptibles de mieux financer les augmentations de budgets cyber, car elles suscitent « vraiment l’intérêt » des gens.
« Les simulations de cybersécurité sont inconfortables. Ils vous sortent de votre zone de confort », a déclaré Kernot. « Ce que vous voulez faire, c’est vous assurer que le conseil d’administration se sente mal à l’aise et inquiet, en réfléchissant à la manière de gérer ce risque à l’avenir. »
