Les RSSI sont sous pression selon une étude Proofpoint
mer, 10/05/2023 - 10:03
Proofpoint a publié aujourd’hui son rapport annuel Voice of the CISO, qui explore les principaux défis auxquels les Responsables de la Sécurité des Systèmes d’Information (RSSI) à travers le mondesont confrontés.
Les résultats révèlent que la plupart des RSSI sont revenus à un état d’esprit proche de celui qu’ils avaient au début de la pandémie. Soixante-quatorze pour centdes RSSI interrogés se sentent menacés par une cyberattaque matérielle. Les données de cette année sont en effet plus alarmantes comparées à celles de 2021, où 68 % des RSSI estimaient qu’une attaque matérielle était imminente.
De même, les sentiments concernant les niveaux de préparation se sont inversés :76 % des RSSI français interrogés ne se sentent pas prêts à faire face à une cyberattaque ciblée, une nette augmentation par rapport aux 37 % de l’année dernière, et un retour aux niveaux de 2021 (78 %).
Bien que les organisations aient largement réussi à surmonter les perturbations des deux dernières années, les effets de la grande démission et de la rotation du personnel persistent aussi. Exacerbés par la récente vague de licenciements massifs, 88 % des RSSI français (82 % au niveau global) affirment que le départ d’employés a entraîné une perte de données. Paradoxalement, bien qu’en France 74 % des responsables de la sécurité (63 % au niveau mondial) aient dû faire face à la perte d’informations sensibles au cours des 12 derniers mois, 70 % d’entre eux (contre 60 % dans le monde) estiment avoir mis en place des mesures de protection des donnéesadéquates.
Le rapport 2023 Voice of the CISOde Proofpoint examine les réponses d’une enquête mondiale menée auprès de plus de 1 600 RSSI de grandes et moyennes entreprises, dans divers secteurs d’activité. Au cours du premier trimestre 2023, 100 RSSI ont été interrogés sur chaque marché dans 16 pays : États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne, Suède, Pays-Bas, Émirats arabes unis, Afrique du Sud, Australie, Japon, Singapour, Corée du Sud et Brésil.
Le rapport examine les tendances mondiales et les différences régionales autour de trois thèmes centraux : le risque de menace et les types de cyberattaques contre lesquelles les RSSI luttent quotidiennement, et les niveaux de préparation des employés et des entreprises pour y faire face, en particulier dans un contexte de ralentissement économique qui pèse sur les budgets consacrés à la sécurité. L’enquête mesure également l’évolution de l’alignement entre les responsables de la sécurité et leur conseil d’administration, et l’impact de leurs relations sur les priorités en matière de sécurité.
« Dans notre analyse 2022, nous nous inquiétions du niveau de confiance des RSSI au sortir des vagues de confinements et du passage au travail hybride,ce dernier semblait alors sous contrôle. Face aux tensions géopolitiques et à la montée de la menace cyberqui en émane, Proofpoint alertait la communauté des RSSI sur les risques à venir. En France, la vague de cyberattaques sur les infrastructures critiques et vitales, comme les hôpitaux, a démontré à quel point ce risque était réel et préjudiciable. Les RSSI semblent avoir saisi l’ampleur de cette menace, et réalisent maintenant que leur organisation n’est pas suffisamment préparée pour y faire face. » a déclaré Xavier Daspre, Directeur Technique chez Proofpoint. « Ces résultats montrent que les efforts ne doivent pas cesser pour les RSSI, qui ont déjà tant travaillépour surmonter les changements liés à la pandémie et à la nouvelle organisation du travail à distance. Avec des moyens toujours plus limités, ils doivent maintenant faire plus avec moins. Cela va obliger lesRSSI à repenser leur organisation et automatiser les tâches qui peuvent l’être pour préserver leur santé mentale et celle de leur équipe. »
Les principales conclusions du rapport 2023 Voice of the CISO de Proofpoint pour la France sont les suivantes :
- Les RSSI français ont à peu près le même niveau d’inquiétude que durant la pandémie, etils se sentent bienmoins préparés à faire face à la menace : 74 % des RSSI français estiment qu’ils risquent de subir une cyberattaque matérielle au cours des 12 prochains mois, contre 68 % en 2021. Cependant, 76 % estiment que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée, contre 37 % l’an dernier et 78 % en 2021.
- La perte de données sensibles est amplifiée par la rotation du personnel : 74 % des responsables français de la sécurité ont déclaré avoir dû faire face à une perte de données sensibles au cours des 12 derniers mois, et 88 % d’entre eux reconnaissent que le départ d’employés a contribué à cette perte. Malgré cela, 70 % des RSSI français estiment avoir mis en place des contrôles adéquats pour protéger leurs données.
- La fraude par courrier électronique reste en tête de liste des menaces les plus importantes : la principale menace perçue par les RSSI français, la fraude par courrier électronique (BEC Business Email Compromise), reste la même que l’année dernière. Cette année, cependant, elle est suivie par les menaces venant de l’intérieur de l’entrepriseet les attaques de la chaîne d’approvisionnement de l’organisation. L’année dernière, les principales préoccupations étaient les attaques DDoS et les ransomwares.
- La plupart des organisations sont susceptibles de payer une rançon si elles sont touchées par un ransomware : 72 % des RSSI français pensent que leur organisation paierait pour restaurer les systèmes et empêcher la divulgation de données si elle était attaquée par un ransomware. Et ils comptent sur l’assurance cyber pour transférer ce risque : 73 % ont déclaré qu’ils déposeraient une demande d’indemnisation auprès d’une cyber-assurance pour recouvrer les pertes subies lors de différents types d’attaques.
- Le risque lié à la chaîne d’approvisionnement reste une priorité : 77 % des RSSI français déclarent avoir mis en place des contrôles adéquats pour atténuer le risque lié à leurchaîne d’approvisionnement, ce qui représente une légère augmentation par rapport aux 72 % de l’année dernière. Si ces protections peuvent sembler suffisantes pour l’instant, les RSSI risquent de se sentir limités dans leurs ressources — 65 % d’entre eux déclarent que l’économie fluctuante a eu un impact négatif sur leur budget de cybersécurité.
- Le risque humain est une préoccupation croissante : il y a une augmentation du nombre de RSSI français qui considèrent l’erreur humaine comme la plus grande vulnérabilité cyber de leur organisation — 75 % sont de cet avis dans l’enquête de cette année contre 61 % en 2022 et 56 % en 2021. D’un autre côté, les RSSI sont de plus en plus convaincus que leurs employés comprennent leur rôle dans la protection de l’organisation, 79 % d’entre eux étant de cet avis cette année, par rapport aux 69 % de l’année précédente. Ces chiffres illustrent les efforts mis en œuvre pour mettre en place une solide culture de la sécurité.
- Les RSSI et les conseils d’administration sont légèrement plusen phase : 67 % des RSSI français estimentêtre alignés avec les membres de leur conseil d’administrationsur les questions de cybersécurité. Il s’agit d’une légère augmentation comparée aux 64 % qui partageaient ce point de vue l’année dernière, et aux 63 % qui étaient de cet avis en 2021.
- Les pressions croissantes exercées sur les RSSI rendent leur travail de plus en plus difficile : 75 % des RSSI français estiment être confrontés à des attentes professionnelles excessives, une augmentation significative par rapport aux 51 % qui exprimaient ce sentiment l’an dernier. Si le retour d’une réalité anxiogène peut être l’une des raisons de cette opinion, l’élargissement continudurôle de RSSI y contribue probablement aussi —en effet, 81 % d’entre eux s’inquiètent pourl’engagement de leur responsabilité civile, et 65 % déclarent avoir été victimes de burnout au cours des 12 derniers mois.
« De nombreux RSSI ne ressentent plus ce sentiment de sérénité qu’ils ont pu brièvement éprouver l’an dernieraprès avoirtraversé le chaos provoqué par la pandémie. De retour au “business as usual”, ils se sont moins assurés des capacités de leur organisation à se défendre contre les cyber-risques », commente Andrew Rose, RSSIpour la région EMEA chez Proofpoint. « Notre rapport 2023 Voice of the CISO révèle qu’au milieu des difficultés croissantes liées à la protection de leur personnel et à la défense des données, les RSSI sont mis à l’épreuve avec des attentes plus élevées, l’épuisement professionnel et l’incertitude quant à leur responsabilité civile.L’amélioration des relations entre les responsables de la sécurité et les membres du conseil d’administration nous donne cependant de l’espoir, et ce partenariat permettra aux organisations de surmonter les nouveaux défis auxquels elles sont confrontées cette année et au-delà. »
Le rapport 2023 Voice of the CISO peut être téléchargé ici.