Discussion :

[Sandra Coret]

Seuls 7 % des responsables de la sécurité rendent compte au PDG, 53 % affirment que leurs dirigeants ne comprennent pas leur rôle et 51 % pensent qu'ils manquent de soutien de la part des dirigeants, d'après LogRhythm

Une nouvelle étude du spécialiste des SOC, LogRhythm, révèle que seuls 7 % des responsables de la sécurité rendent compte au PDG et que 37 % seulement déclarent qu'eux-mêmes ou un membre de leur fonction de sécurité rendent compte au conseil d'administration.

En outre, 53 % des responsables de la sécurité affirment que leurs dirigeants ne comprennent pas leur rôle, et 51 % pensent qu'ils manquent de soutien de la part des dirigeants.

Le rapport, fondé sur une enquête menée auprès de plus de 1 400 responsables de l'information, des technologies et de la sécurité, révèle également que les entreprises consacrent en moyenne 38 millions de dollars aux activités de sécurité, mais que 63 % des responsables de la sécurité interrogés estiment que ce montant est insuffisant pour investir dans les bonnes technologies.

"Alors que les chefs de la sécurité assument plus de responsabilités que jamais, ils n'ont pas la visibilité et l'influence organisationnelles nécessaires pour construire et faire mûrir efficacement leurs programmes de sécurité", déclare James Carder, directeur de la sécurité de LogRhythm. "Des programmes de cybersécurité complets font partie intégrante du succès d'une organisation. Cette étude devrait inciter les PDG à assumer la responsabilité de la protection des informations sensibles de leur organisation, à donner la priorité au programme de sécurité en élevant le responsable de la sécurité et à assurer des liens entre les décideurs en matière de sécurité, la direction et le conseil d'administration."

L'étude montre également que le travail à domicile a créé des problèmes de sécurité majeurs. Selon 73 % des personnes interrogées, des réseaux domestiques moins sécurisés sont utilisés par les employés de leur entreprise. De plus, 68 % des employés et des sous-traitants pensent que l'entreprise ne surveille pas leurs activités et 67 % affirment que les membres de leur famille utilisent des appareils professionnels.

Pour couronner le tout, les responsables informatiques s'inquiètent pour leur emploi : 54 % des personnes interrogées s'inquiètent de la sécurité de leur emploi, et 63 % citent comme principal facteur l'insuffisance du budget pour investir dans les bonnes technologies.

Source : LogRhythm

Et vous ?

Trouvez-vous que ce rapport est pertinent ou pas ?
Quelle place la sécurité tient-elle dans votre organisation ? Les budgets alloués aux opérations de sécurité sont-ils suffisants ?

Voir aussi :

Plus de trois quarts des entreprises en France, au Royaume-Uni et en Allemagne sous-évaluent l'authentification à deux facteurs, selon une étude Yubico

VeritasTM étend ses systèmes de protection contre les ransomwares aux environnements Kubernetes et Cloud, avec les nouvelles mises à jour de sa solution phare, NetBackupTM

69 % des professionnels de l'informatique et de la sécurité ne maîtrisent pas les SASE (Secure Access Service Edge), mais tiennent tout de même à les adopter, d'après une enquête de Versa Networks

[marsupial]

Quelle place la sécurité tient-elle dans votre organisation ?

Dans tous les emplois que j'ai fait, elle était primordiale.

Les budgets alloués aux opérations de sécurité sont-ils suffisants ?

Dans mon premier emploi dans la sécurité, le budget alloué était suffisant puisque nous développions notre propre solution. Il s'agit des ressources humaines qui faisaient défaut plutôt. C'était sur la période 2015-2018.
Depuis 2018, j'ai le permis de port d'armes et j'ai reçu des menaces de mort cette année en lien avec mon second emploi. Ils sont derrière les barreaux pour un moment. Mais la sécurité, parfois ça paie avec de l'or, parfois avec du plomb; donc je reste constamment sur mes gardes. Le budget est plus conséquent ainsi que les ressources humaines mais il y a tant à faire, tellement de trous dans tous les softs que j'en ai pour un moment.

Trouvez-vous que ce rapport est pertinent ou pas ?

Dans mon premier emploi en tant que chef de projet freelance, je rendais compte directement au PDG et j'étais placé directement sous sa responsabilité. Mais c'est effectivement extrêmement rare de trouver un tel schéma d'organisation. Je pense que c'est une situation répandue dans le seul domaine de la Defense. Peut-être la finance. Et encore je ne suis pas certain.
Dans mon second emploi dans la sécurité, je suis RSSI mais placé sous le contrôle de la DSI. Et je rends compte au CA. J'ai des relations avec le PDG mais il a autre chose à gérer que la sécurité. Je pense que dans de petites structures le RSSI devrait être directement sous les ordres du PDG. Pour l'emploi, trop souvent le RSSI se fait éjecter après avoir géré une attaque alors qu'évidemment les torts sont partagés avec la direction de l'entreprise. Les décisions du RSSI devraient être prioritaires sur la DSI.

[smarties]

J'ai travaillé dans une PME, il a fallut que je me batte pour mettre les utilisateurs Windows en utilisateur (car avant, ils étaient tous administrateur de leur poste).
Pour la sécurité réseau, le patron trouvait ça cher mais a quand même accepté en même temps que l'agrandissement de notre bâtiment (dans son entourage, il y avait eu quelques drames à ce niveau là : cryptolockage)