SAN FRANCISCO--(BUSINESS WIRE)--La cybersécurité est à présent au premier plan des ordres du jour dans les salles de conseil des entreprises, mais la plupart des directeurs de la sécurité de l’information n’ont toujours pas décroché de place à la table. Selon une étude de l’ISACA et de RSA Conference, 82 % des professionnels de la cybersécurité et de la sécurité de l’information interrogés pour le sondage indiquent que le conseil d’administration de leur entreprise est préoccupé ou très préoccupé par la cybersécurité, mais seulement un directeur de la sécurité sur sept (14 %) rend compte au PDG.
Cet écart entre conviction et actions aux plus hauts niveaux de la direction se manifeste dans un environnement où 74 % des professionnels de la sécurité s’attendent à une cyberattaque en 2016 et 30 % d’entre eux sont confrontés à des attaques de phishing tous les jours, selon l’étude ISACA/RSA Conference sur l’état de la cybersécurité.
« Bien qu’il y ait des signes montrant que les cadres dirigeants comprennent de plus en plus l’importance de la cybersécurité, il existe encore des possibilités d’amélioration », a déclaré Jennifer Lawinski, rédactrice en chef pour RSA Conference. « La majorité des directeurs de la sécurité de l’information continuent de relever du directeur de l’information, ce qui montre que la cybersécurité est considérée comme une question technique plutôt qu’une question économique. Ce sondage met en évidence l’inadéquation à fournir une opportunité de croissance pour la communauté de la sécurité de l’information à l’avenir. »
L’écart des compétences au niveau la cybersécurité pose ses propres risques à la garantie de la sécurité de l’entreprise. L'année écoulée a connu une baisse de 12 points du pourcentage de professionnels de la sécurité ayant confiance en la capacité de leur équipe à détecter et à répondre aux incidents, le chiifre étant passé de 87 % en 2014 à 75 % en 2015. Parmi ces 75 %, six sur dix ne croient pas que leur personnel est capable de gérer quoi que ce soit au-delà des incidents de cybersécurité simples. Par ailleurs, le nombre d’entre eux qui disent que moins de la moitié des candidats étaient considérés « qualifiés dès l’embauche » est passé de 50 % à 59 % en un an. Selon 27 % d’entre eux, il faut six mois pour pourvoir un poste de cybersécurité, soit une hausse de trois points par rapport à 2014.
« Le manque de confiance dans les niveaux actuels de compétences en cybersécurité montre que les approches classiques en matière de formation ne sont pas assez efficaces », a confié Ron Hale, directeur des connaissances de l’ISACA. « Une formation pratique et axée sur les compétences est essentielle pour combler le déficit de compétences en cybersécurité et développer efficacement une main-d’œuvre aux qualifications solides dans ce domaine. »
Conscience situationnelle
Le sondage a également mis en évidence un manque prononcé de conscience situationnelle de la part des professionnels qui déclarent que la cybersécurité ou la sécurité de l’information est leur rôle principal :
- 24 % d’entre eux ne savaient pas si des informations d’identification d’utilisateur avaient été volées en 2015
- 24 % ne savaient pas quels auteurs malveillants avaient exploité leur entreprise
- 23 % ne savaient pas si leur entreprise avait été victime d’une menace persévérante avancée (Advanced Persistent Threat, ATP)
- 20 % ne savaient pas si des actifs quelconques de l’entreprise avaient été détournés pour une utilisation via un réseau d'ordinateurs zombies
Malgré le fait que la plupart des directeurs de la sécurité de l’information relèvent hiérarchiquement d’un poste en technologie au sein de l’entreprise, l’étude de cette année montre de manière encourageante que la cybersécurité est de plus en plus prise en compte. Parmi les personnes interrogées, 61 % s’attendent à ce que leur budget de cybersécurité augmente en 2016 et 75 % disent que la stratégie en matière de cybersécurité de leur organisation s’inscrit désormais dans les objectifs de l’entreprise.
Jennifer Lawinski et Ron Hale présenteront une session sur ces résultats et leurs implications à l’événement de RSA Conference qui aura lieu le jeudi 3 mars. Le sondage est la deuxième étude annuelle sur l’état de la cybersécurité réalisé par RSA Conference et Cybersecurity Nexus (CSX) de l’ISACA. L’ensemble des résultats est disponible sur www.isaca.org/state-of-cybersecurity-2016.
L’ISACA a créé le CSX pour contribuer à répondre à une crise mondiale de plus en plus profonde des compétences en matière de cybersécurité. Le CSX est un emplacement central dédié à la cybersécurité qui regroupe recherche, conseils, certificats et certifications, éducation, mentorat et communautés. L’ISACA a récemment lancé un programme de formation axée sur les compétences, avec des examens basés sur la performance et des certifications CSX.
À propos de l’ISACA
L’ISACA (www.isaca.org) aide les professionnels internationaux à gérer, adapter et s’appuyer sur des systèmes numériques évolués et fiables, en offrant des connaissances, des normes, des réseaux, des certifications et des conseils en matière de développement de carrière innovants de classe mondiale. Fondée en 1969, l’ISACA est une association mondiale à but non lucratif regroupant 140 000 professionnels dans 180 pays.
Twitter : https://twitter.com/ISACANews
À propos de RSA Conference
RSA® Conference est une série d’événements mondiaux de premier plan qui offrent un forum international sur la sécurité et permettent aux dirigeants de se rassembler, de se développer et d’émerger. Pour des informations sur les événements, la programmation en ligne et les dernières actualités concernant le secteur de la sécurité de l’information, consultez www.rsaconference.com.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
