Les décideurs en TI doivent sont confrontés à des défis majeurs entre les rivaux dynamiques, d'importantes exigences législatives et réglementaires, les besoins des entreprises en termes de transformation numérique, ainsi que l'éventail croissant de solutions technologiques. Idéalement, les exigences commerciales devraient constituer l'élément de motivation capital de l'approche de la cybersécurité d'entreprise. Cependant, près de deux décideurs TI et sécurité basés au Royaume-Uni, sur trois affirment que leur programme de sécurité est constamment réactif, en réponse à une législation en constante évolution, à des menaces et à d'autres facteurs externes, selon un nouveau rapport d'études réalisé par Optiv Security. Ce rapport, intitulé " Les attitudes des entreprises face à la cybersécurité : la prise en compte du paysage des menaces moderne, " examine de façon approfondie les pratiques modernes de cybersécurité, ainsi que les exigences et stratégies visant à équilibrer les risques et l'accélération de l'activité, en pleine évolution.

Le paysage technologique changeant possède une forte influence sur la stratégie de cybersécurité. La prolifération des applications mobiles exerce un impact, majeur ou significatif, sur 79% des entreprises - davantage que le besoin de comprendre les écarts dans leurs programmes de sécurité actuels. Les technologies basées sur le nuage suivent de près, 77% des entreprises affirmant que cet impact majeur ou significatif est dû à la migration vers le nuage.

" Les équipes de sécurité qui ne se concentrent que sur la menace externe sont laissées pour compte par le rythme des changements commerciaux et numériques, " a déclaré Simon Church, directeur général et vice-président exécutif d'Optiv pour l'Europe. " Nous constatons, chez les chefs de file de la cybersécurité, une évolution importante vers une perspective axée sur la priorité accordée à l'entreprise qui permet d'équilibrer les risques et les impératifs de l'entreprise moderne. Cependant, de nombreuses organisations continuent à être gérées selon le modèle obsolète de stratégie 'Outside-in', qui repose sur l'achat de technologies de sécurité basées sur les toutes dernières tendances et vulnérabilités, à la fois en termes de problèmes et de modèle de réponse. Dans le cadre de cette approche, c'est le paysage, plutôt que les objectifs d'entreprise, qui dicte l'infrastructure et les opérations de sécurité, et qui souvent ne tient pas compte des autres éléments importants d'un programme de sécurité réussi - les gens et les processus, " a-t-il ajouté.

Cette étude révèle également que l'adhésion commerciale au sens large représente un défi. Près de trois responsables TI sur cinq estiment qu'il est difficile d'obtenir l'adhésion des parties pour leurs programmes de sécurité, et ce, principalement en raison d'un manque de compréhension de la part de la direction. Près d'un tiers d'entre eux considèrent ce manque comme constituant un obstacle principal entravant la mise en oeuvre de leur stratégie privilégiée, et seuls 23% estiment que le reste du monde des affaires comprend parfaitement leur stratégie de sécurité. Dans 56% des entreprises, le secteur des TI formule une stratégie de programme de sécurité, mais requiert l'autorisation de la direction pour l'initier. En outre, dans près d'un quart des cas, c'est la direction qui dicte la stratégie jusqu'à la base de l'organisation.

" Nombre d'organisations ont des difficultés à mesurer et signaler le retour sur investissement dans le domaine de la cybersécurité, par rapport aux objectifs commerciaux d'entreprise, " a déclaré M. Church. " En réalité, selon notre propre étude, seul un tiers des organisations présentent réellement, à leurs responsables, un rapport relatif à la réussite de leur programme via un tableau de bord ou des rapports réguliers indiquant les données clé. En améliorant le processus de rédaction de rapports, les décideurs TI peuvent sécuriser davantage l'adhésion des parties tout en démontrant la valeur de leurs stratégies et solutions de sécurité, " a-t-il poursuivi.

Cette étude identifie le fait que plus d'un quart des personnes interrogées croient que leur système de sécurité fonctionne extrêmement bien. Cependant, et de plus en plus, les entreprises ne se satisfont pas uniquement d'efficacité, elles veulent de la simplicité. A la question 'Quel accent les entreprises mettraient sur divers facteurs si elles avaient la possibilité de bâtir à nouveau leur programme à partir de zéro, les personnes interrogées ont affirmé qu'elles accorderaient 32% de leur programme à la simplicité, soit une augmentation de 9% en comparaison avec la situation actuelle.

" Le problème est que le monde continue de changer et d'évoluer à un rythme accéléré, " a déclaré M. Church. " Nous sommes tous conscients de la croissance exponentielle et de l'impact de la mondialisation, de l'Internet et des modèles commerciaux dans le nuage, de la transformation numérique et de la mobilité, sur les économies mondiales - qui contribuent tous à transformer de manière radicale les industries, les réinventant entièrement. Le résultat de ces transformations, et l'approche de sécurité existante, est un cybermonde inutilement et exagérément complexe et peu performant. Nos recherches confirment que le secteur a besoin d'une nouvelle perspective, d'une nouvelle approche, et d'un nouveau modèle de livraison et de consommation en termes de cybersécurité, qui aboutit à de meilleurs résultats. Le secteur a besoin d'un approche qui place la stratégie commerciale et le risque au coeur de la prise de décision en matière de cybersécurité, " a-t-il poursuivi.

Méthodologie

Optiv a lancé une série d'études indépendantes visant à découvrir la manière dont les décideurs TI abordent la cybersécurité. Pour produire cette recherche et le rapport qui en résulte, Optiv a collaboré avec un organisme de recherche basé à Londres, Loudhouse. Loudhouse est un organisme indépendant spécialisé dans la recherche technologique et B2B pour les marques mondiales.

Loudhouse a réalisé des entretiens en ligne avec 100 décideurs du domaine des TI et de la sécurité, basés au Royaume-Uni, dans des sociétés commerciales (de plus de 1000 employés), dans le but de comprendre leurs stratégies actuelles, leurs défis et aspirations en termes de cybersécurité. Les personnes interrogées, qui provenaient d'un éventail de secteurs, occupaient des postes tels directeur des TI, directeur de l'information et responsable principal de la sécurité informatique.

