Pas une semaine sans cyberattaque de grande ampleur, avec à la clé des organisations bloquées, rançonnées, et des fuites de données. La sécurité informatique s’est invitée au cœur des préoccupations et le gouvernement vient d’annoncer un plan pour aider les PME et entreprises de taille intermédiaire (ETI) à se protéger. Mais, attention, les entreprises les plus grandes sont aussi soumises à ce risque. Nos recherches montrent que leurs dirigeants peinent à prendre le sujet à bras-le-corps.
Au sein des conseils de surveillance, ces questions de cybersécurité sont le plus souvent placées à la fin des agendas, traitées rapidement, marginalisées, alors même que les préjudices potentiels peuvent se révéler considérables (« Framing Dialogues on Cyber-Resilience on Boards », par Sven-Volker Rehm, Laura Georg Schaffner et Lakshmi Goel, « International Conference on Information Systems (ICIS) Proceedings », n° 10, 2021).
Manque de transparence
Les grandes entreprises, par ailleurs, informent mal leurs actionnaires. Les firmes du CAC40, notamment, consacrent très peu de place au sujet dans leurs rapports annuels. Deux tiers des compagnies que nous avons étudiées traitent la question de manière générique sans précision sur leur propre exposition aux risques et leur politique.
Seulement 10 % d’entre elles fournissent des données-clés, comme la couverture d’assurance en cas d’incident (« Cyber Risk Disclosure : How transparent are CAC40 Companies in Their Annual Reports ? », par Laura Georg Schaffner, Elodie Behnam et Jessie Pallud, « Association information et management (AIM) Proceedings », 2021). Ce manque de transparence sur une question critique pose question, même si on imagine que certaines données sont sensibles.
Des recherches complémentaires menées en Allemagne entre 2005 et 2018 dans des entreprises du DAX 30 ont de surcroît mis en évidence le peu de réaction des comités exécutifs après des incidents de sécurité importants (« Corporate Management Boards’Information Security Orientation », par Laura Georg Schaffner et Enrico Prinz, Journal of Management and Governance, 2022).
Seulement un quart de ces firmes ont procédé à des réorganisations, mais le plus souvent pour renforcer la mise en conformité (« compliance ») plus que la cybersécurité même, autrement dit, non pas pour se prémunir réellement des attaques, mais pour mieux gérer le risque légal qu’elles pourraient entraîner a posteriori !
Ils ne parlent pas le même langage
Pourquoi les dirigeants de grandes entreprises ne consacrent-ils pas davantage d’énergie à ces questions devenues vitales pour les organisations ? Le point crucial est, selon nous, la mauvaise qualité de leur communication avec les responsables informatiques.
Il vous reste 47.88% de cet article à lire. La suite est réservée aux abonnés.