Malgré une recrudescence des cyberattaques et autres incidents de sécurité, le chef de la sécurité de l’information (CISO) semble généralement satisfaite de ses performances au cours de la pandémie de Covid-19. En effet, 88% déclarent leurs capacités de sécurité existantes a résisté à la tempête avec peu d’impact négatif vu sur leurs capacités organisationnelles.
Ceci est selon une étude des membres de ClubCISO, un forum de 500 membres privés des dirigeants de la sécurité, qui vient de publier sa huitième édition Rapport de maturité de la sécurité de l’information. Le rapport semble montrer que des années d’innovation et de travail acharné de la part des professionnels de la sécurité ont porté leurs fruits au cours des 12 derniers mois. En fait, la pandémie a eu moins d’impact sur ses membres qu’on ne l’aurait cru au départ.
Stephen Khan, président du ClubCISO, a déclaré: «Cette année, notre ClubCISO Rapport de maturité de la sécurité de l’information met en évidence certaines améliorations significatives des fonctions de sécurité des entreprises mondiales et des améliorations de la culture de sécurité des organisations.
«Bien que la pandémie ait augmenté le risque de failles de sécurité, avec des attaques plus sophistiquées et plus nombreuses, les équipes de sécurité se sont bien adaptées et ont utilisé la situation sans précédent provoquée par la pandémie pour souligner l’importance de la sécurité et améliorer la compréhension de leurs organisations. il.”
Cependant, le rapport a également montré que cette résilience a coûté cher en termes humains, avec de nouvelles méthodes de travail et des équipes fragmentées et en sous-effectif qui exercent des niveaux de pression sans précédent sur les professionnels de la sécurité. stress et épuisement professionnel un problème encore plus pressant pour la communauté qu’il ne l’était avant Covid.
Plus de 60% des RSSI interrogés dans le cadre de l’étude ont déclaré avoir une augmentation du stress au cours des 12 derniers mois, et détaillé des sentiments similaires parmi leurs subordonnés directs. Même maintenant, alors que les restrictions s’atténuent dans de nombreux pays grâce au succès des programmes de vaccination, 6% ont déclaré que leur équipe subissait un stress «insupportable» et 36% pensaient que le stress de leurs équipes avait un effet néfaste sur leur capacité à performer. selon les besoins de l’organisation.
Les pénuries de compétences et de ressources ont également été amplifiées au cours de la pandémie et, naturellement, sont également un facteur important de stress et de mauvaise santé mentale chez le personnel de sécurité. Un peu moins de la moitié (45%) des répondants ont déclaré que les problèmes de compétences et de ressources contribuaient grandement à leur niveau de stress, et un peu plus de la moitié (53%) ont déclaré que la pénurie de personnel était un problème clé qui les empêchait de lutter contre cela.
Le ClubCISO a déclaré qu’il était clair que le stress restait un problème pour la communauté de la sécurité et qu’il était impératif que les employeurs travaillent avec leurs RSSI et leurs équipes de sécurité pour essayer de résoudre ce problème.
Manoj Bhatt, membre du conseil consultatif du ClubCISO et responsable du conseil en cybersécurité chez Telstra Violet, a déclaré: «Compte tenu du paysage actuel des menaces implacables, les RSSI ont sans doute la tâche la plus difficile de l’organigramme.
«Les RSSI ont sans doute la tâche la plus difficile de l’organigramme. Ils doivent être disponibles pour de nombreux services différents et rester en tête dans un paysage de menaces en constante évolution, dans tous les domaines de la cybersécurité »
Manoj Bhatt, Telstra Violet
«Le RSSI doit être disponible pour de nombreux services différents et rester à l’avant-garde dans un paysage de menaces en constante évolution, dans tous les domaines de la cybersécurité. Cela crée un stress supplémentaire qui se répercutera sur les membres de l’équipe. “
Malgré la montée en flèche des pressions, le rapport a également révélé que les professionnels de la sécurité avaient tendance à être assez positifs dans leur réflexion. Par exemple, 78% des répondants étaient soit d’accord, soit fortement d’accord avec l’énoncé «J’adore mon travail».
Comme indiqué, ce sentiment positif s’est étendu à leurs performances en matière de sécurité organisationnelle, avec des améliorations notées à la fois dans la culture et la résilience. Avec le recul, la grande majorité a déclaré que ses capacités de sécurité avaient résisté pendant la pandémie, et beaucoup pensaient également que la crise de Covid-19 avait offert une opportunité «unique» de conduire le changement dans leurs organisations, et de renforcer – ou dans certains cas établir – la cybersécurité comme fonction clé.
Pour preuve, 55% des RSSI déclarent que leur conseil d’administration a adopté une vision équilibrée de la sécurité, donnant la même priorité à la prévention des incidents qu’à la réponse, contre 38% cette fois l’an dernier. En outre, 86% des RSSI ont déclaré que leur organisation considérait désormais la sécurité comme étant aussi importante qu’eux, contre 65% avant la pandémie.
Le rapport du ClubCISO a également noté comment la pandémie avait renforcé le besoin d’une cybersécurité solide et a démontré de nombreuses améliorations tangibles qui montrent que les RSSI réussissent efficacement à rendre leurs organisations plus sûres. Un plus grand nombre de responsables de la sécurité ont déclaré avoir apporté des améliorations mesurables dans la formation à la sécurité et se sentir plus à l’aise que les gens les écoutaient.
Près de 70% des répondants ont convenu que leur organisation avait une culture de sécurité positive, un énorme bond par rapport à 45% en 2020, et 61% ont déclaré que leurs organisations progressaient ou avaient déjà illustré les meilleures pratiques en matière de cyberespace, contre 39% l’année dernière. .
Les RSSI ont cependant reconnu des problèmes culture organisationnelle et sous-cultures d’équipe en tant que bloqueur potentiel de leur programme, 43% des répondants se disant préoccupés par le fait que la culture organisationnelle affecte négativement leur capacité à atteindre les objectifs.
Bhatt a déclaré: «Il est encourageant de voir que la sécurité est prise encore plus au sérieux qu’auparavant. La transformation numérique accélérée pendant la pandémie a permis aux projets d’avancer plus rapidement, tels que les programmes de sensibilisation à la sécurité, permettant l’accès à distance et la surveillance de la sécurité.
«La confiance dans la capacité à atteindre les objectifs de sécurité s’est également améliorée par rapport à l’année dernière. Les membres du conseil se rendent compte de l’importance d’équilibrer la capacité de prévention et d’intervention, même s’il reste à voir si cela est devenu un sentiment durable dans la salle du conseil. Les RSSI et les membres du conseil doivent désormais continuer à travailler et à entretenir ces relations au-delà des simples crises et urgences. »
