Une étude de Kaspersky a révélé que plus des deux cinquièmes (42 %) des spécialistes de niveau C au Royaume-Uni estiment que le jargon de la cybersécurité est la principale raison du manque de compréhension des risques au sommet des organisations.
Pour de nombreux spécialistes de la sécurité, de la conformité et du risque basés au Royaume-Uni, le jargon et les termes industriels déroutants constituent actuellement le principal obstacle à la compréhension de la cybersécurité par la C-Suite et, surtout, à ce qu’elle doit faire à ce sujet.
Plus de la moitié des cadres de la C-Suite interrogés (57 %) déclarent que le plus grand risque auquel leur entreprise est confrontée est celui des attaques de cybersécurité – devant les facteurs économiques (30 %), les conflits sociaux (29 %) et les catastrophes naturelles (26 %) – il est donc essentiel de combler ce fossé de communication.
Plus précisément, près de la moitié (46 %) des personnes interrogées ont déclaré que les termes de cybersécurité « logiciels malveillants » et « attaques de la chaîne d’approvisionnement » prêtaient à confusion.
Parallèlement, des termes plus techniques tels que « zero day exploits » et « Suricata rules » ont suscité des niveaux de confusion similaires, 45 % et 48 % des personnes interrogées affirmant respectivement ne pas comprendre entièrement ces termes.
« Les acronymes, le jargon et les expressions idiomatiques sont des raccourcis pour les connaisseurs, mais ils sont souvent déroutants pour quiconque n’a pas d’expérience directe dans le domaine de la cybersécurité », a déclaré Stuart Peters, directeur général de Kaspersky pour le Royaume-Uni et l’Irlande.
« Nos résultats suggèrent que l’incapacité des cadres supérieurs des grandes organisations à comprendre réellement la nature des menaces auxquelles ils sont constamment exposés, signifie qu’elles ne sont souvent pas considérées comme une priorité pour le conseil d’administration.
« En d’autres termes, les dirigeants de la C-Suite doivent prendre des décisions critiques en temps voulu sans avoir une vision claire de leur propre paysage de menaces et du risque qu’il représente pour leur organisation, ce qui les empêche de développer une culture de la cybersécurité fondée sur les meilleures pratiques, le partage des connaissances et, en fin de compte, des renseignements exploitables.
>Voir aussi : Hervé Tessler – « Les cyberattaques peuvent être synonymes de mort totale de la réputation ».
La cybersécurité n’est pas à l’ordre du jour des conseils d’administration
Bien que la quasi-totalité (99 %) des membres de la C-Suite interrogés soient désormais conscients de la fréquence à laquelle leurs entreprises sont attaquées par des acteurs menaçants, une personne sur trois seulement a déclaré que la cybersécurité n’était que parfois un point à l’ordre du jour des réunions du conseil d’administration, contre 61 % qui considèrent la cybersécurité comme un point toujours présent.
En outre, près d’un membre de la direction sur cinq (22 %) des entreprises de plus de 5 000 employés a déclaré que la cybersécurité était rarement un point à l’ordre du jour des réunions, contre un peu moins de 2 % des membres de la direction des entreprises de 1 000 à 1999 ou de 2 000 à 2999 employés, ce qui montre que le manque de sensibilisation est plus fréquent dans les grandes organisations.
Pour son rapport, Kaspersky a mené 1 800 entretiens avec des décideurs de niveau C dans des grandes entreprises de 1 000 employés ou plus, dans 13 pays d’Europe : Séparés par un langage commun : la C-Suite est-elle capable de déchiffrer et d’agir face à la menace réelle des cyberattaques ?‘. Le rapport complet est disponible ici.
Relié :
Confiance zéro – qu’est-ce que c’est et pourquoi l’authentification forte est-elle essentielle ? – Qu’est-ce que la confiance zéro et pourquoi est-elle importante ?
Établir une politique de sécurité de l’information solide – Voici comment les organisations peuvent s’assurer qu’elles disposent d’une politique solide qui reflète les besoins de l’entreprise.