Étude sur les risques de contrôle : les cybermenaces mettent les conseils d'administration à rude épreuve

L'enquête mondiale de Control Risks auprès des dirigeants et des décideurs informatiques a révélé que près de la moitié des personnes interrogées estiment que les dirigeants de leur entreprise ne prennent pas suffisamment au sérieux le risque cybernétique. Et ce, malgré le fait que 77 % des personnes interrogées considèrent que les membres de la direction générale sont les premiers responsables de la gestion de la cybersécurité dans leur organisation - plutôt que le département informatique traditionnellement responsable.

Un peu plus de 31 % des répondants ont également déclaré qu'ils étaient très ou extrêmement préoccupés par le fait que leur entreprise pourrait être victime d'une cyber-attaque au cours de l'année prochaine. Cependant, un tiers (34 %) des entreprises n'avaient pas de plan de gestion de crise en place en cas de cyber-attaque. Compte tenu de la plus grave attaque de logiciels malveillants à ce jour, le 12 mai 2017, l'attaque de WannaCry, qui a touché 150 pays en moins de 12 heures, ce manque de préparation est surprenant.

Principales conclusions de l'étude :

   - Les entreprises se débattent avec une approche fondée sur le risque :

Bien que de plus en plus d'entreprises aient maintenant réalisé que la

Le respect des exigences réglementaires minimales n'est pas suffisant

et veulent travailler plus dur pour réduire les risques d'une cyber-attaque.

réduisent en fait, près de la moitié (45 %) voir la

L'identification, l'analyse et la réduction de ces risques en tant que

le plus grand défi.

   - Les infractions commises par des tiers entraînent

de plus en plus préoccupées : un peu plus d'un tiers (35 %) des personnes interrogées l'ont déclaré,

votre entreprise avait déjà travaillé dans le passé avec

Vulnérabilités de sécurité dues à des tiers à combattre. Alors que

9 répondants sur 10 (93 %) ont pris des mesures pour

Examiner les mesures de cybersécurité de leurs tiers. Ce

53 % étaient toutefois limités aux questions purement contractuelles.

Clauses.

   - Les cyberattaques ont de graves effets à long terme : 4 sur

10 personnes interrogées ont déclaré qu'une cyber-attaque avait déjà conduit à l'utilisation abusive de

des informations sensibles ou confidentielles (43 %), ou

a entraîné la perte de données de clients (41 %).

Harald Nikutta, associé principal de Control Risks Germany, commente :

"La cybersécurité est encore souvent considérée comme un défi purement technique plutôt que comme un risque commercial global. Comme le montre notre enquête, cette vue limitée peut être

Ce point de vue peut, à long terme, inquiéter considérablement de nombreuses entreprises. Nous recommandons d'adopter une vision aussi complète que possible en ce qui concerne les menaces concrètes pesant sur l'entreprise concernée. La manière dont les cyber-risques sont identifiés, évalués et communiqués au sein de l'entreprise est d'une importance capitale.

Il est important que les entreprises comprennent les conséquences potentielles des cyberrisques dans leur cas particulier. Ce n'est qu'alors qu'ils pourront être pris en compte dans une stratégie de gestion des risques et soutenus par des mesures efficaces".

Les entreprises doivent veiller à ce que la cybersécurité fasse partie intégrante de l'ordre du jour de leur conseil d'administration - notamment en examinant le paysage des cybermenaces externes en collaboration avec les TI. En outre, les entreprises bénéficient d'exercices réguliers de gestion des crises pour toutes les parties concernées, y compris la salle du conseil d'administration, les services informatiques, juridiques et de communication et tous les autres membres de l'équipe de gestion des crises. Ces exercices garantissent que toutes les parties connaissent leurs rôles et responsabilités et sont conscientes des conséquences potentielles des cyber-attaques.

http://www.controlrisks.com