Un rapport de Moody’s fait état de réels progrès en matière de cybersécurité

Il n’y a pas si longtemps, de nombreuses organisations choisissaient entre investir dans la cyberassurance ou renforcer leur expertise en matière de cybersécurité. Or, un nouveau rapport de Moody’s suggère que de plus en plus d’organisations font désormais les deux. En fait, l’éligibilité à une assurance de cybersécurité de nos jours crée généralement un cercle vertueux dans la mesure où les entreprises doivent prouver le sérieux de leur cyber résilience pour pouvoir y prétendre.

Une enquête mondiale menée auprès de quelque 2 000 professionnels de la cybersécurité par Investment Advisory Service révèle que les budgets de cybersécurité ont augmenté de près des deux tiers (65 %) au cours des cinq dernières années, y compris les salaires requis pour permettre une augmentation de 25 % des effectifs de cybersécurité internes travaillant à temps plein.

Dans le même temps, 87 % des participants déclarent que leur entreprise dispose d’une cyberassurance autonome, soit une hausse de 21 % par rapport à 2021. Au total, 13 % ont déclaré envisager de rechercher une couverture supplémentaire l’année prochaine, même si les primes sont nettement plus élevées qu’auparavant.

On ne sait pas exactement dans quelle mesure le fait de disposer d’une assurance de cybersécurité a entraîné l’adoption de processus de cybersécurité plus robustes. Le rapport indique toutefois que la plupart des entreprises sauvegardent désormais leurs données au moins une fois par semaine et ont mis en place l’authentification multifacteur (MFA).

Le rapport indique également qu’environ les trois quarts des entreprises effectuent des exercices de simulation au moins une fois par an, tandis que 60 % déclarent avoir mis en place un programme de chasse aux bugs.

De toute évidence, il reste encore beaucoup à faire pour améliorer les évaluations des risques par des tiers, mais il y a un point positif : davantage d’équipes de cybersécurité (90 %) ont accès aux dirigeants pour faire valoir leur point de vue.

Bien entendu, le degré de compréhension et d’appréciation des dirigeants des informations qu’ils reçoivent sur les risques cyber varie encore considérablement d’une entreprise à l’autre. De nombreux professionnels de la cybersécurité ont encore des difficultés à expliquer le niveau de risque métier lié à un problème de cybersécurité. En l’absence de formation spécifique en finance, il est souvent difficile pour eux de présenter un argument convaincant dans des termes que les dirigeants d’entreprise comprennent.

En revanche - et c’est un point positif - de plus en plus de dirigeants sont à l’écoute, soit parce qu’ils prennent le problème au sérieux après avoir constaté de première main son impact sur l’entreprise, soit parce que la loi les y oblige. Cependant, il est peu probable qu’ils aient un jour une connaissance solide de la cybersécurité. Qu’on le veuille ou non, il incombe aux responsables de l’équipe de cybersécurité d’expliquer les difficultés et les défis auxquels l’organisation est confrontée. Le problème est que la plupart des chefs d’entreprise sont conditionnés à évaluer les gains potentiels par rapport aux risques, de sorte qu’ils peuvent choisir de lancer une initiative sans tenir compte des conséquences potentielles sur la cybersécurité.

En réalité, la plupart des responsables de la cybersécurité, tout en étant plus que jamais tenus de rendre des comptes, ne peuvent tout simplement pas s’opposer à de telles initiatives. Il leur est avant tout demandé de fournir des conseils sur la meilleure façon de s’assurer que le service numérique ajouté sera aussi sûr que possible.

Dans l’ensemble, en matière de cybersécurité, il y a aujourd’hui beaucoup plus de raisons d’être optimiste que dans un passé récent. Espérons que les avancées de l’intelligence artificielle (IA) nous donnent encore plus de motifs de nous réjouir que de nous inquiéter.