Le décalage entre les objectifs de l'entreprise et ceux de la sécurité semble avoir eu au moins une conséquence négative pour un plus grand nombre d’organisations dans le monde. Plus d’un décideur sur trois en matière de sécurité en France ont également déclaré que ce même décalage avait entraîné une augmentation du nombre de cyberattaques réussies dans leur entreprise.

Cet écart entraîne également d’autres conséquences : le retard d'investissement et de prise de décision stratégique, ainsi qu’une hausse des dépenses inutiles. Cela affecte également les collaborateurs puisque 23 % des répondants français ont déclaré que le stress affecte l'ensemble de leur équipe de sécurité.

De plus, l'incertitude de l'économie mondiale exacerbe le problème. La moitié des répondants français déclarent qu'il devient de plus en plus difficile de concilier la cybersécurité avec des objectifs commerciaux plus larges de l’entreprise.

Des mesures et processus qui ne sont pas en concordance avec les résultats de l'entreprise

Avec près de 15000 postes à pourvoir en Hexagone, la pénurie de talents bat son plein dans le domaine de la cybersécurité. Cela peut expliquer que la France semble être un peu en retard sur l’alignement de sa stratégie de sécurité avec les résultats de l’entreprise.

L’enquête a permis tout de même de révéler quelques signes encourageants. En effet, la plupart des équipes de sécurité en France tiennent des réunions régulières avec des collaborateurs possédant un haut niveau de décision. Seulement, on constate que seuls 41 % des entreprises françaises ont intégré des membres de l'équipe de sécurité dans leurs services internes.

Des progrès restent à faire car encore trop peu d’organisations documentent les politiques et les procédures pour faciliter l'alignement, et que près d’un tiers pense que ce dernier est ad hoc et n'a lieu que lorsque c’est dit « nécessaire ».

En outre, l’efficacité de la cybersécurité est encore regardée aujourd’hui uniquement par le prisme des chiffres ou des activités. En France, le nombre d'attaques repoussées est cité comme le plus important indicateur de succès par 41 % des décideurs. Viennent ensuite l'atteinte des objectifs de conformité (30 %) et la réduction des coûts liés aux incidents de sécurité (22 %).

La cybersécurité peut être un formidable catalyseur pour les entreprises. Pourtant, cette étude montre qu'il y a encore du travail au niveau des conseils d'administration pour faire évoluer les mentalités. La cybersécurité doit être envisagée comme importante non seulement du point de vue de la conformité et de la protection des entreprises, mais également du point de vue de la valeur ajoutée à un niveau plus stratégique.

Les décideurs en matière de sécurité informatique (ITSDM) doivent faire valoir leur point de vue

Une amélioration de l’alignement peut passer par l’acquisition de compétences opérationnelles. En revanche, cela ne fait pas partie des compétences prioritaires à acquérir pour les responsables de la cybersécurité, selon les ITSDM. Ces derniers jugent les compétences techniques plus précieuses et les placent devant la communication, la collaboration, le sens des affaires et la gestion du personnel.

Du côté des responsable en cybersécurité, un quart des répondants français, estiment que présenter le dossier commercial au conseil d'administration ou à la direction représenterait une lacune à reconnaître dans leurs propres compétences. De plus, 25 % des répondants pensent qu'ils doivent améliorer leurs compétences en communication.

Un meilleur alignement des objectifs entraîne également une refonte des lignes hiérarchiques et une meilleure visibilité au niveau du PDG. Cependant, on observe peu d'appétit pour le changement dans les structures de reporting en entreprise. Seuls 26 % des ITSDM français pensent que les CISO ou les plus hauts responsables de la cybersécurité devraient rendre compte au PDG, afin d'aligner au mieux la cybersécurité avec les objectifs généraux de l'entreprise.

Il est important de comprendre pourquoi la cybersécurité doit occuper une place plus importante dans les entreprises.

L'alignement entre la cybersécurité et les objectifs de l'entreprise est essentiel pour réussir. Les conséquences négatives d'une mauvaise synchronisation des objectifs des équipes sont apparues comme flagrantes. Il est essentiel d'obtenir un accord commun entre les différentes fonctions de l'entreprise. Les indicateurs qui ne se contentent pas de mesurer l'activité de sécurité, mais qui démontrent également l'impact sur les résultats, sont d'une grande utilité. La communication est essentielle : de solides compétences techniques restent importantes, mais plus que jamais, les responsables de la sécurité doivent être capables de communiquer, d'influencer et de démontrer la valeur qu'ils apportent aux résultats commerciaux.

Les responsables de la sécurité possédant cette combinaison de compétences, et partageant le même objectif final que leur entreprise, sont difficiles à ignorer en cette période de pénurie sur le marché de la cybersécurité. C’est en avançant « main dans la main » que dirigeant et ITSDM atteindront les objectifs de l’entreprise.

Par Yves Wattel, Vice President Southern Europe chez Delinea