Depuis 2013, le gouvernement britannique a mené une enquête auprès des 350 plus grandes entreprises du pays pour comprendre comment elles gèrent leurs cyberrisques. Le rapport de cette année a révélé que ces entreprises sont désormais plus conscientes de l'importance d'une bonne cybersécurité, mais prévient qu'elles doivent s'améliorer à un rythme beaucoup plus rapide si elles veulent garder une longueur d'avance sur les futurs défis en matière de cybersécurité.
Nous examinons ci-dessous quelques-unes des principales conclusions du rapport de cette année et discutons de ce qu'il pourrait signifier pour l'avenir de la cybersécurité, de la conformité et de la protection des données.
La formation à la cybersécurité, un problème pour les entreprises du FTSE 350
Le fait le plus surprenant de ce rapport est sans doute la constatation que 68 % des entreprises n'ont reçu aucune formation pour faire face à un cyberincident. Bien que plus d'un quart d'entre elles (26 %) aient reçu une formation sur la réponse aux incidents, 2 % seulement ont déclaré avoir reçu une formation complète de leur conseil d'administration sur la réponse aux incidents, ce qui est inquiétant.
Le rapport révèle également que plus d'un quart des conseils d'administration n'ont pas de rôle défini dans la réponse de l'entreprise à un cyberincident. C'est tout simplement insuffisant dans l'entreprise moderne. La protection des informations clés est aujourd'hui d'une importance capitale pour toutes les fonctions de l'entreprise.
Les membres du conseil d'administration doivent gérer les risques au sein de leur organisation en s'appuyant sur le soutien de la direction, en mettant en œuvre les meilleures pratiques de gestion des risques et en cultivant une culture consciente des risques. En procédant de la sorte, non seulement les entreprises protégeront leurs précieux actifs, mais elles en tireront également des avantages stratégiques et opérationnels.
GDPR - Toujours un problème pour les grandes entreprises
Le rapport a révélé que les conseils d'administration ne considèrent qu'occasionnellement le GDPR dans leurs réunions. Il s'agit là d'une grande source d'inquiétude à l'approche de la mise en œuvre du GDPR le 25 mai 2018. Si l'on examine spécifiquement la façon dont les conseils d'administration traitent le GDPR, la plus grande partie des personnes interrogées ont déclaré que le sujet avait été abordé, mais qu'il ne s'agissait pas d'un sujet régulier (42 %). Cela indique qu'il y a au moins une sensibilisation générale au GDPR, mais si l'on ajoute à cela le fait que seulement 13 % des répondants ont déclaré que le GDPR était régulièrement pris en compte par leur conseil d'administration, cela est inquiétant.
À l'heure actuelle, les entreprises devraient déjà être en bonne voie pour finaliser leur plan GDPR. Cependant, le rapport indique que c'est loin d'être le cas et qu'il est possible que la panique s'installe au sein des entreprises du FTSE 350 dans les mois à venir pour mettre en œuvre un plan de gestion du GDPR.
Bonne nouvelle
Malgré ces avertissements, il y a lieu de se réjouir dans le rapport. La compréhension et la conscience qu'ont les conseils d'administration de l'impact potentiel d'une perte ou d'une perturbation des informations ou des données clés ont sensiblement augmenté. Ce pourcentage est passé de 49 % en 2015/16 à 57 % dans le rapport de cette année.
En ce qui concerne les informations que les conseils d'administration reçoivent sur la cybersécurité, le rapport de cette année révèle que 31 % d'entre eux reçoivent des informations de gestion complètes et informatives sur les cybermenaces. Ce chiffre étant passé de 21 % l'année précédente, il s'agit d'une grande source de positivité.
En conclusion, on peut dire que le bilan de santé de la gouvernance cybernétique du FTSE 350 de cette année est mitigé. On constate une nette amélioration dans certains domaines, tandis que d'autres, comme la formation et l'introduction du GDPR, restent négligés.
Si vous souhaitez lire le rapport complet, vous pouvez le faire ici.
Qu'avez-vous pensé du rapport de cette année, y a-t-il quelque chose qui vous a inquiété ? Quelque chose vous a-t-il paru particulièrement surprenant ?
