Bien que les cadres dirigeants considèrent les cyberattaques comme un gros facteur de risque pour leurs entreprises, ils peinent encore à prioriser leurs actions en cybersécurité, en raison du jargon et de la terminologie déroutante utilisés pour décrire les menaces. C’est ce que révèle une nouvelle étude Kaspersky menée auprès de 1800 cadres dirigeants en Europe.
Près de la moitié des cadres dirigeants interrogés (49%), et 46% des répondants français, estiment que les cyberattaques constituent le plus grand risque pour leur entreprise, devant les aléas économiques (37%), mais 48% des cadres spécialisés en sécurité ont déclaré que le langage utilisé pour décrire ces menaces constitue le principal obstacle à la compréhension des problèmes de cybersécurité les plus pressants. L’étude de Kaspersky sur les obstacles linguistiques en matière de cybersécurité révèle que la quasi-totalité (99%) des cadres dirigeants interrogés sont désormais conscients de la fréquence à laquelle leurs entreprises sont ciblées par des acteurs malveillants. Malgré cette prise de conscience, 43% des répondants (36,5% en France) ont déclaré que la cybersécurité n’est à l’ordre du jour des réunions du conseil d’administration que de temps en temps.
Jargon et termes industriels comme principaux freins
Les résultats suggèrent également que plus une entreprise est grande, plus la prise en compte de la cybersécurité est susceptible de s’affaiblir. En effet, 1 personne sur 7 (14%) interrogée travaillant dans une entreprise de plus de 5 000 employés a déclaré que la cybersécurité était rarement un point à l’ordre du jour des réunions de la direction ou du conseil d’administration, contre seulement 3% des répondants issus d’entreprises de moins de 3000 salariés. La déconnexion observable entre les membres de la direction et leur capacité à cerner les tenants et aboutissants des risques cyber pourrait s’expliquer par leur difficulté à s’approprier le langage utilisé pour décrire les menaces. Près de la moitié (48%) de tous les responsables de la sécurité, de la conformité et des risques estiment que le jargon et les termes industriels, souvent déroutants, constituent actuellement le principal obstacle à la compréhension de la cybersécurité par les dirigeants et, surtout, un frein aux moyens qu’ils doivent mettre en œuvre pour y faire face. Ces résultats sont particulièrement visibles dans la région DACH (Allemagne, Autriche, Suisse) (47%), au Portugal (47%), en Espagne (44%) et au Royaume-Uni (42%), où près de la moitié des répondants considèrent le jargon technique comme le principal frein à la bonne compréhension des risques cyber. En France, ils sont 40%.
S’entourer d’experts qui parle la langue des cybercriminels
« Les équipes de direction ont beaucoup de poids sur leurs épaules, surtout en ces périodes d’instabilité économique. Si les risques cyber semblent être compris, la mise en place de solutions viables et efficaces pour rendre l’entreprise plus résiliente face à ces risques nécessite que tous les tenants et aboutissants soient clairs, et compris. Prendre des décisions éclairées sans maîtriser les outils ni même la réalité du paysage de la menace et la vulnérabilité de son réseau est impossible. C’est pourquoi, alors que beaucoup d’entreprises doivent aussi faire face à un manque d’experts, de ressources, il est très important de s’accompagner d’experts qui parlent le même langage que les cybercriminels, et que les entreprises. » explique Bertrand Trastour, Directeur Général de Kaspersky France. Pour mieux étayer ce point: 38% de toutes les personnes interrogées, et 44% des Français, ont déclaré que les termes de base de la cybersécurité (malware, phishing et ransomware) sont confus à leurs yeux. Les termes un peu plus techniques tels que « Exploits Zero Day » et « Suricata rules » ont suscité des niveaux de confusion similaires, avec 39% des personnes interrogées, et près d’un dirigeant français sur deux, affirmant ne pas pleinement comprendre ces termes.
L’impossibilité de prendre réellement la mesure de la menace cyber
“Nos résultats suggèrent que, même si les équipes de direction considèrent les attaques de cybersécurité comme le risque numéro un pour leurs entreprises, leur incapacité à comprendre réellement la nature de la menace signifie qu’elle n’est souvent pas perçue comme une question prioritaire pour le conseil d’administration, explique David Emm, chercheur principal en sécurité chez Kaspersky. En fait, cela signifie qu’ils se retrouvent souvent dans une position où ils doivent prendre des décisions cruciales sans avoir une idée claire de ce à quoi ressemble leur paysage des menaces et du risque qu’elles représentent pour leur organisation. En rendant complexe l’interprétation des problèmes les plus critiques, le langage et la terminologie utilisés pour décrire les menaces empêchent actuellement les organisations de développer une culture des bonnes pratiques en matière de cybersécurité, de partager leurs connaissances et, en fin de compte, de produire des renseignements exploitables.”
Le rapport de l’étude
est lisible derrière ce lien
Hélène Saire
