Les managers IT belge dénoncent le manque de leadership en cybersécurité

Soixante pour cent des responsables informatiques belges se plaignent de l’incapacité de leur direction à élaborer une stratégie de cybersécurité linéaire, selon une nouvelle étude de Trend Micro. Mais ce problème se manifeste partout dans le monde, estime le géant de la sécurité informatique: il y a un sous-investissement flagrant dans la sécurisation des réseaux d’entreprise.

Avec une augmentation de 10 pour cent des cyberattaques dans le monde – à l’entendre, Trend Micro en a bloqué quelque 161 milliards en 2023 –, les entreprises ne peuvent se permettre de faire preuve de laxisme en matière de sécurité informatique. Or c’est exactement ce qui se passe, comme le démontre Trend Micro qui tire la sonnette d’alarme dans un nouveau rapport dans lequel 2.600 responsables informatiques du monde entier (dont 100 belges) ont été interrogés.

‘Les cybermenaces contre les entreprises sont ‘hors de contrôle’, selon les régulateurs’, affirme Trend Micro. Et la firme de sécurité informatique d’ajouter que les entreprises n’ont pas suffisamment compris ce message.

Pas une priorité

Spécifiquement pour les répondants belges, par exemple, il apparaît que 31 pour cent signalent un manque de techniques d’Attack Surface Risk Management (ASRM) permettant de surveiller la surface d’attaque, à savoir l’ensemble des vulnérabilités ou des points d’accès que les personnes mal intentionnées peuvent exploiter. Seuls 26 pour cent utilisent des cadres réglementaires et autres éprouvés tels que le NIST Cybersecurity Framework. Soixante pour cent des responsables informatiques belges se plaignent de l’incapacité de leurs propres dirigeants à développer une stratégie de cybersécurité linéaire et n’hésitent pas à déclarer que l’attitude de leur entreprise à l’égard des cyber-risques est incohérente et change chaque mois.

Pas plus de 36 pour cent des entreprises belges disposent de suffisamment de personnel IT pour s’occuper de la cybersécurité 24 heures sur 24. Plus de la moitié des répondants belges – 53 pour cent – indiquent que leur direction ne considère pas la cybersécurité au nombre de ses responsabilités.

Manque de leadership

Mais le problème est général, selon Trend Micro. Il existe une incapacité mondiale des entreprises à assurer elles-mêmes un niveau de base de cybersécurité, ainsi qu’un manque de ressources et de soutien suffisants pour mesurer et atténuer les risques de sécurité informatique. Il y a un ‘manque de leadership et de sens des responsabilités à la tête des organisations’.

Et ce, alors que les managers IT sont inquiets. En Belgique, pas moins de 98 pour cent des personnes interrogées en font part. Près de 40 pour cent d’entre elles sont préoccupées par la méthode utilisée pour découvrir, évaluer et contenir les zones à haut risque, et un quart déclare que leur entreprise ne dispose d’aucune source unique d’informations sur les cybermenaces.

‘Un manque de leadership clair en matière de cybersécurité peut avoir un effet paralysant sur une entreprise et conduire à une prise de décision réactive, fragmentée et versatile’, explique Pieter Molen, Technical Director Benelux chez Trend Micro, dans un communiqué de presse. ‘Les entreprises ont besoin d’un Chief Information Security Officer  pour traduire les cyber-risques en risques commerciaux. Ce n’est qu’ainsi qu’elles pourront susciter l’intérêt du conseil d’administration. ‘Si elles veulent accroître leur cyber-résilience, elles ont réellement besoin d’une source unique d’informations pour l’ensemble de la surface d’attaque, qui tienne le conseil d’administration informé, surveille les risques et résolve les problèmes par elles-mêmes.’