Pratiquement toutes les entreprises aiment dire qu’elles prennent au sérieux la confidentialité et la sécurité de leurs clients, en font une priorité absolue, bla bla. Mais vous seriez pardonné si vous ne pouviez pas le dire en étudiant la page de leadership exécutif du site Web de chaque entreprise. C’est parce que très peu des plus grandes entreprises du monde répertorient quelconque cadres de la sécurité dans leurs rangs les plus élevés. Même parmi les entreprises de haute technologie, moins de la moitié énumèrent un directeur de la technologie (CTO). Cet article explore certaines raisons pour lesquelles c’est le cas et pourquoi cela ne peut pas changer assez rapidement.
BreachTrace a examiné les sites Web pour le les 100 premières entreprises mondiales par la valeur marchande, et trouvé seulement cinq pour cent des 100 plus grandes entreprises ont répertorié un responsable de la sécurité de l’information (CISO) ou un responsable de la sécurité (CSO). Seul un peu plus d’un tiers ont même répertorié un CTO dans leurs pages de leadership exécutif.
La réalité des entreprises de haute technologie qui composent les 50 premières entreprises du marché NASDAQ était encore plus frappant : moins de la moitié ont répertorié un CTO dans leurs rangs exécutifs, et j’ai pu trouver seulement trois qui mettaient en vedette une personne avec un titre de sécurité.
Personne ne dit que ces entreprises n’ont pas de RSSI et/ou de CSO et de CTO à leur service. Un examen de LinkedIn suggère que la plupart d’entre eux ont en fait des personnes dans ces rôles (bien que je soupçonne que les quelques personnes qui ne sont pas présentes ou facilement trouvables sur LinkedIn ont pris la décision personnelle et/ou professionnelle de ne pas être répertoriées comme telles).
Mais il est intéressant de noter quels rôles les entreprises considèrent qu’il vaut la peine de publier dans leurs pages de leadership exécutif. Par exemple, 73 % des 100 plus grandes entreprises ont nommé un directeur des ressources humaines (ou « directeur des ressources humaines »), et environ un tiers ont inclus un directeur du marketing.
Non pas que ces rôles soient en quelque sorte plus ou moins importants que celui d’un CISO/CSO au sein de l’organisation. Le salaire moyen n’est pas non plus très différent entre les trois rôles. Pourtant, compte tenu de l’ampleur de l’impact du marketing (pensez aux données des consommateurs/clients) et des ressources humaines (pensez aux données personnelles/financières des employés) par votre violation de données moyenne, il est quelque peu remarquable que davantage d’entreprises ne fais pas énumérer leur personnel de sécurité en chef parmi leurs rangs supérieurs.
Julie Conroydirecteur de recherche au cabinet d’analyse de marché Groupe Aitéa déclaré qu’elle avait initialement émis l’hypothèse que les entreprises ayant un mandat réglementaire pour des contrôles de cybersécurité solides (par exemple les banques) auraient ce rôle dans leur équipe de direction.
« Mais un rapide coup d’œil aux sites Web de Bank of America et de Chase m’a prouvé que j’avais tort », a déclaré Conroy. « Il semble que le CISO de ces entreprises soit un niveau inférieur, relevant de la direction. »
Conroy dit que cette dynamique reflète le fait que les centres de revenus comme le capital humain et la capacité à générer de nouvelles affaires sont toujours prioritaires et valorisés par les entreprises plus que les centres de coûts, y compris la prévention des pertes et la cybersécurité.
« Les rôles de marketing et de stratégie numérique génèrent des revenus pour les entreprises – ce dernier est particulièrement important dans les secteurs de la vente au détail et de la banque, car une grande partie du commerce se déplace en ligne », a déclaré Conroy. « Bien que vous et moi sachions que la cybersécurité et la prévention des pertes sont des fonctions essentielles pour tous les types d’entreprises, je ne pense pas que la réalité se reflète encore dans la structure organisationnelle de nombreuses entreprises. Un thème commun dans mes discussions avec les cadres occupant des postes de centre de coûts est la difficulté pour eux d’obtenir un budget pour financer la technologie dont ils ont besoin pour les initiatives de prévention des pertes.
ANNEXE A : EQUIFAX
Commune ou non, la structure hiérarchique dominante dans les entreprises risque de faire passer les problèmes de sécurité au second plan lorsqu’ils entravent la productivité, et laisse souvent l’équipe de sécurité sans personne pour défendre le budget approprié.
Prenez la méga brèche chez Equifax l’année dernière qui a révélé les données personnelles et financières de 148 millions de personnes. Une grande partie du blâme a été attribuée aux pratiques laxistes d’Equifax en matière de correctifs logiciels, mais la cause de l’intrusion était en fin de compte un problème de personnel et de structure organisationnelle, affirme Lance Spitznerdirecteur de la sensibilisation à la sécurité au Institut SANS.
« Lorsque vous évoquez la violation d’Equifax, la plupart des gens répondent qu’il s’agissait d’un problème de correctif, les méchants ont exploité une vulnérabilité Struts qu’Equifax connaissait et aurait dû corriger », Spitzner a écrit dans une panne de un rapport accablant publié la semaine dernière par les législateurs du comité de surveillance de la Chambre.
Mais pourquoi n’a-t-il pas été patché ? Et pourquoi leur a-t-il fallu deux mois pour identifier la brèche ? Spitzner dit que le rapport de la Chambre montre que la raison ultime était que la CSO Susan Mauldin ne relevait pas du CIO, mais était enterrée sous le directeur juridique. L’informatique était isolée de la sécurité ; les deux communiquaient ou se coordonnaient rarement, laissant des trous béants dans l’organisation.
La raison de ce clivage organisationnel ? Spitzner note :
« Dix ans auparavant, le CSO relevait du CIO, mais ils avaient de forts conflits de personnalité. Étant donné que les deux ne pouvaient pas travailler ensemble, le CSO a été déplacé sous l’autorité légale. Cependant, lorsque le nouveau CIO David Webb d’Equifax et la nouvelle CSO Susan Mauldin sont arrivés à bord, cette scission n’a jamais été résolue. (Les détails complets de cet échec stratégique commencent à la page 55 du rapport. Je pense que c’est l’une des conclusions les plus critiques.) En conséquence, le CSO est maintenant le CISO et cette personne relève directement du PDG d’Equifax aujourd’hui.
En effet, malgré sa myriade de problèmes de sécurité et de gestion depuis l’annonce de sa violation de données historique en septembre dernier, Equifax a apparemment pris cette leçon à cœur. Avant d’annoncer sa violation l’année dernière, un CISO ou CSO a été visiblement absent des rangs de la page Leadership d’entreprise d’Equifax. Plus maintenant. Voilà qui te regarde, Expérian et Trans Union.
SILOS EXÉCUTIFS
Les experts en main-d’œuvre affirment que la principale raison pour laquelle de nombreuses entreprises ne mentionnent pas leurs responsables de la sécurité parmi leurs cadres supérieurs est que ces personnes ne relèvent généralement pas directement du conseil d’administration ou du PDG de l’entreprise. Plus communément, le CSO ou CISO rend compte au CTO ou au directeur de l’information.
« Vous devez vous assurer que vos responsables de la sécurité sont sur un pied d’égalité avec les responsables de la technologie, sinon il y a un conflit inhérent en jeu », a déclaré Antoine Belfiorechef de la sécurité de la compagnie d’assurances Aon PLC, dans un Histoire du Wall Street Journal ce mois-ci sur l’importance croissante des responsables de la sécurité dans les grandes entreprises.
Source : Accentures.
Alissa Valentina Chevalieranalyste principal et collègue de Conroy’s au sein du groupe Aite, a déclaré que nous étions au milieu d’un changement de marées – où la fonction CISO autrefois considérée comme un problème technologique se transforme maintenant en un problème de salle de conseil et entraîne un changement progressif dans le reporting structure.
« Historiquement, vous verriez le CISO rendre compte au CTO et bien que l’entreprise ait un CISO, cette personne n’était pas répertoriée sur le site Web de l’entreprise, [and] alors qu’ils avaient un titre d’officier, ils n’ont pas eu ce privilège », a déclaré Knight.
Mais elle a ajouté que de nombreuses entreprises – bien qu’elles aient un CISO – ne les listeront pas sur la page de l’équipe de direction de leur site Web, même lorsque cette structure hiérarchique passe du CTO au PDG ou au conseil d’administration.
« Certaines entreprises déplacent même la fonction de cybersécurité vers le directeur financier », a déclaré Knight.
Selon une enquête publiée cet été par Accenture, les deux tiers des entreprises ont déclaré que leur directeur général et leur conseil d’administration supervisaient désormais directement la cybersécurité. L’enquête a également révélé que les DSI avaient également moins de contrôle sur les budgets de cybersécurité en 2018, de 35 % en 2017 à 29 % cette année, selon l’enquête.
Les entreprises peuvent minimiser les conflits entre le CSO/CISO et les autres cadres supérieurs en demandant à leur(s) responsable(s) de la sécurité de rendre compte au chef des opérations ou à l’avocat général de l’entreprise, a déclaré Belfiore au Journal. Par exemple, ceux qui ont des CISO qui relèvent des CIO peuvent mélanger les lignes hiérarchiques avec le service juridique, le risque ou le bureau du PDG pour compenser les conflits potentiels.
*Calculé sur la base du nombre d’entreprises du top 100 avec des données de leadership disponibles (voir ces Top 100 et Top 50 feuilles de calcul).