En matière de cyber résilience, selon les RSSI, la préparation de leurs organisations aux nouveaux risques se heurte à d’importants obstacles. Seuls 38 % des RSSI de la zone EMEA estiment avoir atteint la maturité suffisante en matière de cyber-résilience, selon une nouvelle enquête de Palo Alto Networks et d’IDC Research. 

Cette étude montre qu’à peine 28 % des RSSI testent régulièrement leurs plans de rétablissement. Par ailleurs, seulement 40 % des organisations sont confiantes à l’idée de se remettre d’une cyberattaque sans perturbation majeure. Ces chiffres soulignent la nécessité de prendre des initiatives stratégiques et de réévaluer les méthodes actuelles pour améliorer la posture de cybersécurité.

Fait étonnant, seulement 21 % des RSSI du secteur banque, finance, assurance, testent régulièrement les plans de rétablissement. C’est l’un des plus faibles taux de tous les secteurs d’activités analysés, alors même que ce secteur est parmi les plus réglementés. Il est vrai que face à l'aggravation des menaces et à la complexité croissante du marché, les RSSI n’ont pas la tâche facile. 

La pénurie de talents et le manque de compétences dans le domaine des technologies émergentes de la sécurité sont les principaux obstacles à l’atteinte de la cyber-résilience, tous deux cités par 70 % des répondants. Ensuite, vient l’absence de corrélation entre de nombreux produits unitaires (52 %). Ces chiffres démontrent que la fragmentation des solutions et le besoin élevé de ressources empêchent les espoirs de se concrétiser, et ce alors que 78 % des organisations de la zone EMEA et de l’Amérique latine confirment l'importance qu’elles accordent à la cyber-résilience. 

« Malgré des niveaux de maturité modérés dans la zone EMEA et l’Amérique latine, le nombre de RSSI équipés de façon à tester régulièrement leurs plans de rétablissement est étonnamment bas. Mais les RSSI évoluent dans un contexte difficile. D'une part, les événements géopolitiques et les perturbations des chaînes d'approvisionnement s’ajoutent aux menaces. D’autre part, la pénurie de talents et d'expertise adéquate complique encore la mise en œuvre de solutions et la préparation à faire face aux prochaines futures », explique Haider Pasha, responsable de la sécurité pour la zone EMEA et l’Amérique Latine chez Palo Alto Networks.

L'enquête révèle également un nombre étonnamment réduit de différences entre les marchés d'Europe, d'Amérique latine et du Moyen-Orient. Il y a un consensus sur le rôle vital de la cyber-résilience pour les entreprises. Les marchés dans lesquels la cyber-résilience est considérée comme une priorité majeure sont le Royaume d'Arabie saoudite (48 % des répondants), l'Espagne (44 %), le Brésil (43 %) et la France (42 %). Certains marchés européens, dont l’Allemagne et le Royaume-Uni, tendent moins à la considérer comme une priorité. 

Des enjeux technologiques
En parallèle du problème de la fragmentation, l'enquête met en lumière divers enjeux technologiques. L'utilisation des mesures de cybersécurité matures comme contribution à la cyber-résilience atteint tout juste 11 % chez les répondants. Dans certains pays de la zone EMEA, ce chiffre descend même de 0 à 5 %. La plupart des pays ont majoritairement recours à des plans de continuité d’activité (74 %), des plans de rétablissement d’activité (72 %), des plans de rétablissement après rançongiciel (54 %) et des stratégies de gestion de crise (51 %). 

Haider Pasha poursuit son analyse : « De toute évidence, de nombreuses organisations ne possèdent pas encore les ressources et la confiance nécessaires pour mettre en œuvre une solution technologique complète de cyber-résilience capable d’empêcher les attaques. Elles doivent à la place recourir majoritairement à des tactiques telles que la réponse après incident, qui est conçue pour répondre aux incidents et non pour les planifier. La visibilité insuffisante sur l'impact des menaces et la priorité donnée à une tactique de résolution des problèmes exposent les organisations à un nombre grandissant de menaces et les empêchent de planifier les risques de demain. »

Vers une culture de la cyber-résilience
L’enquête fait cependant ressortir l’envie de faire changer la culture vis-à-vis de la cyber-résilience. à cet égard, l'influence des équipes dirigeantes est en train de gagner du terrain. 72 % des répondants ont désigné le conseil d’administration comme le principal instigateur des initiatives de cyber-résilience, qui arrive avant les obligations réglementaires (70 %). 

Enfin, l’enquête met en lumière un manque de consensus en matière de leadership et de responsabilité en matière de cyber-résilience. Selon l’étude IDC Research, la responsabilité globale de diriger les actions de l’organisation pour assurer un niveau élevé de cyber-résilience incombe en partie aux DSI (29 %), aux CTO (22 %), aux chefs d’unité commerciale (19 %) ; avec seulement 17% l’attribuant au RSSI. Ce manque d'appropriation entrave la prise de décision, malgré le fort soutien des plus hauts niveaux de direction : plus de la moitié des DSI de la région EMEA admettent que les membres de la direction sont préoccupés, conscients et concentrés sur la cyber-préparation et examinent régulièrement la cyber-résilience. 

Haider Pasha conclut : « Il est vital que l’équipe de direction s'engage sans équivoque à créer et gérer des politiques de cybersécurité claires et à en mesurer l'impact. Elle doit aussi donner les moyens aux responsables intermédiaires de prendre des décisions plus rapidement. Faute de quoi, toute la responsabilité des mesures de réaction aux incidents retombe sur les équipes de cybersécurité, alors que l’on pourrait orienter l’entreprise vers des stratégies mieux adaptées. »