Tandis que la majorité des sociétés tournées vers l'international considère les risques cybernétiques comme importants, les entreprises suisses orientées vers le marché domestique estiment généralement que ces menaces sont faibles. La sous-estimation des menaces liées à la cyber-sécurité peut induire des risques considérables. L'étude montre que les entreprises doivent encore améliorer leur cyber-intelligence, ainsi que leurs capacités de réaction. Les sociétés doivent également adopter une vision plus stratégique de la cyber-sécurité et la promouvoir en tant qu'activité encadrée et évaluée, sous la supervision de la direction.
La première étude menée par la société de services professionnels Deloitte sur la cyber-sécurité montre que les entreprises ont tendance à sous-estimer les risques en matière de cyber-sécurité, en particulier lorsqu'elles sont principalement actives sur le marché suisse (voir figure 1). En particulier, seul un tiers des sociétés interrogées considère la cyber-sécurité comme un impératif d'importance stratégique.
Figure 1: Selon qu'elles opèrent à l'international ou sur le marché domestique, les entreprises ont une perception différente de la cyber-sécurité (1)
La première étude menée par la société de services professionnels Deloitte sur la cyber-sécurité montre que les entreprises ont tendance à sous-estimer les risques en matière de cyber-sécurité, en particulier lorsqu'elles sont principalement actives sur le marché suisse (voir figure 1). En particulier, seul un tiers des sociétés interrogées considère la cyber-sécurité comme un impératif d'importance stratégique.
Figure 1: Selon qu'elles opèrent à l'international ou sur le marché domestique, les entreprises ont une perception différente de la cyber-sécurité (1)
Les causes fondamentales
Les raisons qui conduisent à sous-évaluer les risques cybernétiques sont diverses, mais peuvent être ramenées au fait que la sécurité est invisible et intangible. Ainsi que l'explique Mark Carter, Associé responsable du département Security & Resilience chez Deloitte en Suisse : « Si une sécurité faible pouvait faire du bruit, plus de sociétés s'inquièteraient. Mais ce n'est malheureusement pas le cas ». Ces dernières années, Deloitte a été de plus en plus régulièrement consulté à la suite d'incidents cybernétiques majeurs, pour rétablir le cours normal des opérations. « Les sociétés sont toujours surprises de voir qu'elles n'ont pas repéré des signes annonciateurs, ou qu'elles se trouvent dans l'incapacité de reconstituer les incidents, en raison de données enregistrées incomplètes », commente Mark Carter.
De l'aveuglement à la prise de conscience
Les personnes interrogées ont décrit ce problème comme un « cercle vicieux d'aveuglement » : leurs sociétés n'ont pas conscience des cyber-attaques parce qu'elles ne disposent pas des bons outils pour pouvoir les observer. En conséquence, elles n'investissent pas dans les capacités qui leur permettraient de mieux se préparer à de telles menaces. Historiquement, ce cercle vicieux n’a été rompu que lorsque les dirigeants ont pu saisir l'opportunité de transformer la sécurité de leurs sociétés. L'étude révèle cependant un aspect positif : la tendance évolue et les investissements dans les capacités de cyber-intelligence figurent en bonne place parmi les priorités de ces prochaines années.
Des obstacles pour amener la cyber-sécurité à maturité
Plus de 80% des personnes interrogées ont déclaré que leur société n'en faisait « pas encore » assez pour protéger leur capital contre les cyber-attaques. De nombreuses sociétés considèrent qu'il est difficile de mesurer la cyber-sécurité et de décider du niveau de capacités cybernétiques qui leur sont nécessaires. Les décisions d'investissement dans la cyber-sécurité sont donc avant tout déterminées par des considérations tactiques. Pour amener les capacités cybernétiques à maturité, un dernier obstacle subsiste : la perception erronée, mais communément répandue, que la cyber-sécurité est un problème d'informatique. Cette vision néglige les nombreux aspects non informatiques de la cyber-sécurité, comme les attaques visant les marques des sociétés, les exigences juridiques et réglementaires, ou encore la fraude d'entreprise.
« Les entreprises doivent réaliser qu'un leadership du plus haut niveau est indispensable pour gérer toutes les facettes de la cyber-sécurité », affirme Mark Carter. La majorité des personnes interrogées ont confirmé ce point ; cependant, moins de la moitié des sociétés ont mis en place le soutien nécessaire de leurs cadres dirigeants.
Perspectives
Bien que des obstacles persistent pour amener la cyber-sécurité à maturité, les entreprises suisses réalisent des progrès significatifs. De plus en plus souvent, des comités de direction dédiés sont mis en place pour gérer la cyber-sécurité de manière exhaustive et à travers les différentes branches de l'organigramme. Les efforts entrepris pour mieux observer les attaques et mesurer les capacités cybernétiques sont autant de signes d'une activité qui arrive à maturité. A l'heure où les cyber-attaques continuent d'ébranler aussi bien les entreprises que les organismes publics, ce sont là des développements encourageants.
A propos de l'étude Deloitte "Cyber Security in Switzerland – Finding the balance between hype and complacency"
Deloitte a interrogé 17 responsables de la sécurité informatique ("Chief Information Security Officer" - CISO), responsables de l'ingénierie de sécurité, ou responsables des opérations à travers différents secteurs d'activité afin d'analyser comment les entreprises basées en Suisse se préparent aux cyber-menaces et comment elles y réagissent. Les entretiens ont été réalisés entre octobre 2013 et janvier 2014. L'étude est basée sur les résultats de ces entretiens, ainsi que sur l'expérience des experts de Deloitte.
Téléchargez ci-dessous une copie intégrale de l'étude "Cyber Security in Switzerland" (PDF de 16 pages en anglais),
(1) Conscience des menaces = évaluation de la gravité des cyber-menaces
Cyber-maturité = évaluation des capacités et des défenses existantes
Importance stratégique = importance accordée à la cyber-sécurité, comparée aux autres priorités
Les raisons qui conduisent à sous-évaluer les risques cybernétiques sont diverses, mais peuvent être ramenées au fait que la sécurité est invisible et intangible. Ainsi que l'explique Mark Carter, Associé responsable du département Security & Resilience chez Deloitte en Suisse : « Si une sécurité faible pouvait faire du bruit, plus de sociétés s'inquièteraient. Mais ce n'est malheureusement pas le cas ». Ces dernières années, Deloitte a été de plus en plus régulièrement consulté à la suite d'incidents cybernétiques majeurs, pour rétablir le cours normal des opérations. « Les sociétés sont toujours surprises de voir qu'elles n'ont pas repéré des signes annonciateurs, ou qu'elles se trouvent dans l'incapacité de reconstituer les incidents, en raison de données enregistrées incomplètes », commente Mark Carter.
De l'aveuglement à la prise de conscience
Les personnes interrogées ont décrit ce problème comme un « cercle vicieux d'aveuglement » : leurs sociétés n'ont pas conscience des cyber-attaques parce qu'elles ne disposent pas des bons outils pour pouvoir les observer. En conséquence, elles n'investissent pas dans les capacités qui leur permettraient de mieux se préparer à de telles menaces. Historiquement, ce cercle vicieux n’a été rompu que lorsque les dirigeants ont pu saisir l'opportunité de transformer la sécurité de leurs sociétés. L'étude révèle cependant un aspect positif : la tendance évolue et les investissements dans les capacités de cyber-intelligence figurent en bonne place parmi les priorités de ces prochaines années.
Des obstacles pour amener la cyber-sécurité à maturité
Plus de 80% des personnes interrogées ont déclaré que leur société n'en faisait « pas encore » assez pour protéger leur capital contre les cyber-attaques. De nombreuses sociétés considèrent qu'il est difficile de mesurer la cyber-sécurité et de décider du niveau de capacités cybernétiques qui leur sont nécessaires. Les décisions d'investissement dans la cyber-sécurité sont donc avant tout déterminées par des considérations tactiques. Pour amener les capacités cybernétiques à maturité, un dernier obstacle subsiste : la perception erronée, mais communément répandue, que la cyber-sécurité est un problème d'informatique. Cette vision néglige les nombreux aspects non informatiques de la cyber-sécurité, comme les attaques visant les marques des sociétés, les exigences juridiques et réglementaires, ou encore la fraude d'entreprise.
« Les entreprises doivent réaliser qu'un leadership du plus haut niveau est indispensable pour gérer toutes les facettes de la cyber-sécurité », affirme Mark Carter. La majorité des personnes interrogées ont confirmé ce point ; cependant, moins de la moitié des sociétés ont mis en place le soutien nécessaire de leurs cadres dirigeants.
Perspectives
Bien que des obstacles persistent pour amener la cyber-sécurité à maturité, les entreprises suisses réalisent des progrès significatifs. De plus en plus souvent, des comités de direction dédiés sont mis en place pour gérer la cyber-sécurité de manière exhaustive et à travers les différentes branches de l'organigramme. Les efforts entrepris pour mieux observer les attaques et mesurer les capacités cybernétiques sont autant de signes d'une activité qui arrive à maturité. A l'heure où les cyber-attaques continuent d'ébranler aussi bien les entreprises que les organismes publics, ce sont là des développements encourageants.
A propos de l'étude Deloitte "Cyber Security in Switzerland – Finding the balance between hype and complacency"
Deloitte a interrogé 17 responsables de la sécurité informatique ("Chief Information Security Officer" - CISO), responsables de l'ingénierie de sécurité, ou responsables des opérations à travers différents secteurs d'activité afin d'analyser comment les entreprises basées en Suisse se préparent aux cyber-menaces et comment elles y réagissent. Les entretiens ont été réalisés entre octobre 2013 et janvier 2014. L'étude est basée sur les résultats de ces entretiens, ainsi que sur l'expérience des experts de Deloitte.
Téléchargez ci-dessous une copie intégrale de l'étude "Cyber Security in Switzerland" (PDF de 16 pages en anglais),
(1) Conscience des menaces = évaluation de la gravité des cyber-menaces
Cyber-maturité = évaluation des capacités et des défenses existantes
Importance stratégique = importance accordée à la cyber-sécurité, comparée aux autres priorités
Les médias du groupe Finyear
Lisez gratuitement chaque jour (5j/7) le quotidien Finyear.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise.
Lien direct pour vous abonner : www.finyear.com/abonnement
Lisez gratuitement chaque mois :
- le magazine digital Finyear sur www.finyear.com/magazine
- la lettre digitale "Le Directeur Financier" sur www.finyear.com/ledirecteurfinancier
- la lettre digitale "Le Trésorier" sur www.finyear.com/letresorier
- la lettre digitale "Le Credit Manager" sur www.finyear.com/lecreditmanager
- la lettre digitale "Le Capital Investisseur" sur www.finyear.com/lecapitalinvestisseur
- la lettre digitale "GRC Manager" sur www.finyear.com/grcmanager
- la lettre digitale "Le Contrôleur de Gestion" (PROJET 2014) sur www.finyear.com/lecontroleurdegestion
Un seul formulaire d'abonnement pour 7 lettres