Sécurité, responsabilité du CISO. Bien que…

En matière de sécurité, le CISO n’est pas omnipotent. Plus que de rôles, c’est affaire de perception. N’empêche, la confiance règne. A raison 

48% des équipes de sécurité concernées relèvent directement du CISO, 25% du CIO et 12% du CEO. Tels sont les premiers indices livrés par l’ISACA, l’association internationale des métiers des systèmes d’information, à l’issue d’une enquête menée en partenariat avec HCL Technologies. Plus de 3 600 décideurs et professionnels de la cybersécurité certifiés ont été interrogés.

Ceci noté, des différences de perception existent. Ainsi, 61 % des CIO considèrent que la cybersécurité est bien une priorité du conseil d’administration de leur organisation. Ils ne sont plus que 47% à le penser chez les CISO. Or, les divergences de vue peuvent faire obstacle à la coordination nécessaire face à la menace cyber

Evaluation des risques

35 % des répondants déclarent une hausse des cyberattaques visant leur entreprise. Les tentatives d’exfiltration de données (ingénierie sociale), les menaces persistantes avancées, les ransomwares sont les plus souvent cités. La non-application de correctifs de sécurité est un autre défi

Aussi, la plupart des entreprises (76 %) mènent des évaluations de risques pour renforcer leur conformité réglementaire, prévenir la perte de données (54 %) et muscler leurs politiques et procédures de sécurité (51 %).

De surcroît, 78 % des professionnels interrogés considèrent que les programmes de formation et de sensibilisation à la cybersécurité ont une incidence positive sur l’organisation. L’approche zero trust et le modèle SASE (Secure Access Service Edge) montent en puissance

L’indice de confiance monte

En ce qui concerne les équipes et le leadership en matière de cybersécurité, les conclusions du rapport n’ont révélé aucune différence importante entre la fonction de sécurité ayant un CISO ou un CIO à la tête et les opinions de l’organisation sur l’augmentation ou la diminution des cyberattaques, les niveaux de confiance liés à la détection et à la réponse aux cybermenaces ou aux perceptions de la cybercriminalité. Cependant, il a constaté que la propriété de la fonction de sécurité est liée à des différences concernant l’évaluation par les dirigeants des évaluations des cyberrisques (84 % sous les CISO contre 78 % sous les CIO), la priorisation de la cybersécurité par le conseil d’administration (61 % sous les CISO contre 47 % sous les CIO) et l’alignement de la stratégie de cybersécurité avec des objectifs organisationnels (77 % sous les CISO contre 68% sous les CIO).

77 % des personnes interrogées ont également révélé qu’elles étaient confiantes dans la capacité de leurs équipes de cybersécurité à détecter et à répondre aux cyber-menaces, 3 % de plus par rapport à l’année dernière.