Une sous-évaluation de la menace cyber

L’étude de Kroll souligne ainsi que près de 87 % des DAF considèrent que leur entreprise dispose aujourd’hui des moyens nécessaires pour faire face aux cybermenaces. Pour autant, près de la moitié d’entre eux (40 %) n’ont jamais reçu de consigne spécifique de la part des responsables de la sécurité du système d’information de leur société, témoignant d’un manque d’accès à l’information sur le sujet.

En conséquence, 61 % des sondés font état de pertes de plus 5 millions de dollars sur les 18 derniers mois liés à des incidents cyber (dont plus de 10 millions de dollars pour un tiers d’entre eux, et plus de 25 millions de dollars pour un quart). Sur cette même période, 79 % attestent avoir subi au moins une effraction ayant eu des conséquences en termes de finances ou de fuite de données.

À ce titre, l’enquête illustre une forme de déconnexion des décideurs financiers avec les besoins réels de l’entreprise en la matière. Celle-ci est d’ailleurs exemplifiée par le décalage de perception avec les directeurs du système d’information (DSI) qui sont 66 % à considérer que leur entreprise est, au contraire, vulnérable face aux cybermenaces¹, témoignant d’un niveau de confiance bien plus faible et d’un besoin en moyens qui s’accroît.

Des perspectives d’investissement plus importantes

Malgré un manque de lucidité apparent sur le sujet, près de la moitié des DAF interrogés pour l’étude sont prêts à plus investir pour renforcer les moyens de l’entreprise afin de faire face aux cybermenaces. Ainsi, 45 % d’entre eux ont prévu d’augmenter leur budget dédié à la cybersécurité d’au moins 10 % pendant le prochain exercice fiscal. Ce budget a notamment vocation à financer la sous-traitance des activités de sécurisation du système d’information, qui représentent aujourd’hui entre 10 et 50 % des dépenses dédiées à la cybersécurité pour 75 % des sondés.

Pour autant, près de 22 % des DAF déclarent, a contrario, que leur budget va rester stable (20 %), voire décliner (2 %), attestant à nouveau d’une prise de conscience insuffisante vis-à-vis de l’importance des enjeux de cybersécurité.

« Les directeurs financiers ne semblent pas encore avoir pris la mesure du risque représenté par les cyberattaques. Et ce, alors que les pertes liées aux effractions continuent de se multiplier, avec parfois des risques à plus long terme sur la valorisation de l’entreprise. Il est aujourd’hui essentiel que les DAF et les DSI travaillent plus systématiquement ensemble pour définir des budgets proportionnés aux menaces. L’objectif ici serait de s’inscrire dans une démarche d’abord préventive, plutôt que réactive. Nous voyons encore trop souvent des déblocages de fonds dans l’urgence, quand il est déjà trop tard », conclut Vito Rallo, associate managing director de la pratique Cyber Risk de Kroll.

¹ Étude Kroll, State of Incident Response 2021