Communiqué de presse
Les sociétés suisses sont-elles prêtes pour faire face aux défis de la cyber-sécurité ?
Une nouvelle étude de Deloitte met en évidence l'importance cruciale de la cyber-sécurité, ainsi que les défis que rencontrent les sociétés suisses pour la mettre en œuvre.
Tandis que la majorité des sociétés tournées vers l'international considère les risques cybernétiques comme importants, les entreprises suisses orientées vers le marché domestique estiment généralement que ces menaces sont faibles. La sous-estimation des menaces liées à la cyber-sécurité peut induire des risques considérables. L'étude montre que les entreprises doivent encore améliorer leur cyber-intelligence, ainsi que leurs capacités de réaction. Les sociétés doivent également adopter une vision plus stratégique de la cyber-sécurité et la promouvoir en tant qu'activité encadrée et évaluée, sous la supervision de la direction.
La première étude menée par la société de services professionnels Deloitte sur la cyber-sécurité montre que les entreprises ont tendance à sous-estimer les risques en matière de cyber-sécurité, en particulier lorsqu'elles sont principalement actives sur le marché suisse (voir figure 1). En particulier, seul un tiers des sociétés interrogées considère la cyber-sécurité comme un impératif d'importance stratégique.
Les causes fondamentales
Les raisons qui conduisent à sous-évaluer les risques cybernétiques sont diverses, mais peuvent être ramenées au fait que la sécurité est invisible et intangible. Ainsi que l'explique Mark Carter, Associé responsable du département Security & Resilience chez Deloitte en Suisse : « Si une sécurité faible pouvait faire du bruit, plus de sociétés s'inquièteraient. Mais ce n'est malheureusement pas le cas ». Ces dernières années, Deloitte a été de plus en plus régulièrement consulté à la suite d'incidents cybernétiques majeurs, pour rétablir le cours normal des opérations. « Les sociétés sont toujours surprises de voir qu'elles n'ont pas repéré des signes annonciateurs, ou qu'elles se trouvent dans l'incapacité de reconstituer les incidents, en raison de données enregistrées incomplètes », commente Mark Carter.
De l'aveuglement à la prise de conscience
Les personnes interrogées ont décrit ce problème comme un « cercle vicieux d'aveuglement » : leurs sociétés n'ont pas conscience des cyber-attaques parce qu'elles ne disposent pas des bons outils pour pouvoir les observer. En conséquence, elles n'investissent pas dans les capacités qui leur permettraient de mieux se préparer à de telles menaces. Historiquement, ce cercle vicieux n’a été rompu que lorsque les dirigeants ont pu saisir l'opportunité de transformer la sécurité de leurs sociétés. L'étude révèle cependant un aspect positif : la tendance évolue et les investissements dans les capacités de cyber-intelligence figurent en bonne place parmi les priorités de ces prochaines années.
Des obstacles pour amener la cyber-sécurité à maturité
Plus de 80% des personnes interrogées ont déclaré que leur société n'en faisait « pas encore » assez pour protéger leur capital contre les cyber-attaques. De nombreuses sociétés considèrent qu'il est difficile de mesurer la cyber-sécurité et de décider du niveau de capacités cybernétiques qui leur sont nécessaires. Les décisions d'investissement dans la cyber-sécurité sont donc avant tout déterminées par des considérations tactiques. Pour amener les capacités cybernétiques à maturité, un dernier obstacle subsiste : la perception erronée, mais communément répandue, que la cyber-sécurité est un problème d'informatique. Cette vision néglige les nombreux aspects non informatiques de la cyber-sécurité, comme les attaques visant les marques des sociétés, les exigences juridiques et réglementaires, ou encore la fraude d'entreprise.
« Les entreprises doivent réaliser qu'un leadership du plus haut niveau est indispensable pour gérer toutes les facettes de la cyber-sécurité », affirme Mark Carter. La majorité des personnes interrogées ont confirmé ce point ; cependant, moins de la moitié des sociétés ont mis en place le soutien nécessaire de leurs cadres dirigeants.
Perspectives
Bien que des obstacles persistent pour amener la cyber-sécurité à maturité, les entreprises suisses réalisent des progrès significatifs. De plus en plus souvent, des comités de direction dédiés sont mis en place pour gérer la cyber-sécurité de manière exhaustive et à travers les différentes branches de l'organigramme. Les efforts entrepris pour mieux observer les attaques et mesurer les capacités cybernétiques sont autant de signes d'une activité qui arrive à maturité. A l'heure où les cyber-attaques continuent d'ébranler aussi bien les entreprises que les organismes publics, ce sont là des développements encourageants.
A propos de l'étude Deloitte "Cyber Security in Switzerland – Finding the balance between hype and complacency"
Deloitte a interrogé 17 responsables de la sécurité informatique ("Chief Information Security Officer" - CISO), responsables de l'ingénierie de sécurité, ou responsables des opérations à travers différents secteurs d'activité afin d'analyser comment les entreprises basées en Suisse se préparent aux cyber-menaces et comment elles y réagissent. Les entretiens ont été réalisés entre octobre 2013 et janvier 2014. L'étude est basée sur les résultats de ces entretiens, ainsi que sur l'expérience des experts de Deloitte.
Deloitte en Suisse
Deloitte compte parmi les principales sociétés suisses fournissant des services professionnels dans les domaines de l’audit, de la fiscalité, du conseil et du corporate finance. Avec près de 1’100 collaborateurs répartis dans les villes de Bâle, Berne, Genève, Lausanne, Lugano et Zurich (siège), Deloitte propose ses services à des entreprises et des institutions de toutes formes juridiques et de toutes tailles, et opérant dans tous les secteurs d’activité. Deloitte SA est une filiale de Deloitte LLP, qui est la société britannique affiliée de Deloitte Touche Tohmatsu Limited (DTTL). Les sociétés affiliées de DTTL sont représentées dans plus de 150 pays avec environ 200’000 collaborateurs.
Zurich, le 24 mars 2014
Note aux rédacteurs
Dans le présent communiqué de presse la désignation Deloitte fait référence à Deloitte SA, une filiale de Deloitte LLP, qui est la société britannique affiliée de Deloitte Touche Tohmatsu Limited ('DTTL'). DTTL est une « UK private company limited by guarantee » (une société à responsabilité limitée de droit britannique), dont les sociétés affiliées constituent des entités juridiques indépendantes et séparées. Pour une description détaillée de la structure juridique de DTTL et de ses sociétés affiliées, veuillez consulter le site www.deloitte.com/ch/about. Deloitte LLP et ses filiales font partie des leaders dans le domaine de l'audit, de la fiscalité, du conseil et des fusions-acquisitions avec plus de 12'600 collaborateurs de premier plan au Royaume-Uni et en Suisse. Reconnu comme employeur de choix grâce à ses programmes novateurs en matière de ressources humaines, Deloitte LLP recherche l'excellence pour ses clients et ses interlocuteurs. Deloitte SA est reconnue comme société d'audit agréée par l'Autorité fédérale de surveillance en matière de révision (ASR) et par l'autorité fédérale de surveillance des marchés financiers (FINMA). L'information contenue dans le présent communiqué est correcte au moment de sa distribution à la presse. Pour de plus amples informations, veuillez consulter notre site www.deloitte.ch.