Cybersécurité et RSE, un lien encore peu établi en pratique ? La plupart des RSSI ne sont que passivement impliqués dans la définition des stratégies et leur mise en œuvre. C’est en tout cas la conclusion que KPMG tire dans son dernier rapport Cyber Trust Insights.
Moins d’un répondant sur cinq (échantillon : 1881 cadres dirigeants*) a affirmé que le RSSI et/ou l’équipe cybersécurité était « partie intégrante » de l’équipe RSE et de ses activités. Pour près de la moitié (44 %), le rôle se limite à fournir des informations sur demande.
Le rapport met aussi en lumière le casse-tête de la réglementation pour les RSSI. Ou plutôt des réglementations, pour les activités multinationales. Avec quelques éléments de contexte :
– La majorité des pays ont aujourd’hui une forme de régime de protection des données. Et, souvent, ils en revendiquent l’extraterritorialité, autant pour les services proposés sur leur territoire que pour les données de leurs citoyens.
– Le durcissement de l’encadrement des infrastructures critiques : obligations de signalement d’incidents, audits externes requis, etc.
– La diversité des lois… et de leur interprétation
Les cadres dirigeants s’inquiètent en particulier de leur capacité à respecter les exigences de cybersécurité lorsqu’ils externalisent des actifs. Leurs réponses traduisent aussi un certain scepticisme vis-à-vis de la capacité des organisations à modéliser et à estimer le risque (voir ci-dessous).
Emporter l’adhésion du board est un autre défi – qui n’a rien de nouveau – pour les RSSI. Les cadres dirigeants eux-mêmes le reconnaissent. Près des deux tiers expliquent que leur organisation voit la sécurité de l’information comme une activité de réduction du risque plutôt que comme un levier de compétitivité par la confiance qu’elle fait naître.
L’étude révèle par ailleurs un décalage entre les intentions de collaborer avec l’écosystème et la réalité des pratiques. Un exemple : 79 % considèrent comme vital de s’engager avec clients et partenaires, mais 42 % l’appliquent.
Quand on leur demande de citer les trois principaux bénéfices d’une telle collaboration, les répondants citent d’abord :
– Mieux anticiper les cyberattaques (44 %)
– Mieux en recouvrer (41 %)
– Répondre plus efficacement aux changements réglementaires (39 %)
* Dont 42 % cadres supérieurs et/ou membres du conseil d’administration. 50 % de l’échantillon était localisé sur la plaque EMA (Europe, Moyen-Orient-Afrique). Toutes les organisations sondées réalisent au moins 100 M$ de C. A.
Illustration principale © École polytechnique / Paris / France via Visualhunt / CC BY-SA
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…