Dans un monde de plus en plus connecté, la cybersécurité est devenue un enjeu majeur pour les organisations européennes. Mais qu’en est-il de la culture de la sécurité au sein de ces entreprises ? Une étude récente révèle des disparités significatives dans les niveaux de maturité à travers l’Europe et ses différents secteurs d’activité.
Comprendre la Culture de la Sécurité
La culture de la sécurité englobe l’ensemble des idées, coutumes et comportements sociaux qui influencent la sécurité d’une organisation et réduisent le risque humain. Dans les entreprises dotées d’une culture de la sécurité solide, les collaborateurs :
- Partagent proactivement les informations liées à la cybersécurité
- Participent volontiers aux formations
- Comprennent que la cybersécurité est une priorité pour l’entreprise
Des Niveaux de Maturité Hétérogènes en Europe
Malgré une prise de conscience croissante, les niveaux de maturité de la culture de la sécurité varient considérablement en Europe. Si certaines organisations ont bien compris l’importance stratégique d’une culture de la sécurité proactive, beaucoup n’ont pas encore défini de tactique claire pour atteindre cet objectif.
Même si l’humain reste le principal vecteur d’attaque, cette dimension semble insuffisamment prise en compte, tout comme les attaques ciblant spécifiquement les individus. Pourtant, intégrer les collaborateurs à la défense est essentiel pour renforcer la résilience des organisations.
Les Réglementations Européennes, Moteurs de la Cybersécurité
L’Union Européenne joue un rôle clé dans l’évolution de la cybersécurité en Europe, à travers des réglementations de plus en plus strictes :
- Le RGPD, en vigueur dans toute l’UE, établit un équilibre entre collecte et traitement des données, en donnant la priorité aux intérêts des individus.
- La directive NIS2, à mettre en œuvre d’ici octobre 2024, impute la responsabilité de la cybersécurité au conseil d’administration des organisations gérant des infrastructures critiques.
- Le règlement DORA, effectif en janvier 2025, oblige les organisations financières à prouver leur capacité de récupération après une cyberattaque et à former leurs employés.
L’UE régule également l’utilisation de l’intelligence artificielle, avec des amendes pouvant atteindre 35 millions d’euros ou 3% du revenu brut en cas de non-conformité.
Gouvernance de la Cybersécurité : Un Défi Majeur
Si la traduction des réglementations en politiques internes est relativement rapide, leur mise en œuvre effective représente un véritable défi. Une gouvernance solide est essentielle pour garantir l’alignement des stratégies et objectifs de cybersécurité, avec :
- Des processus normalisés
- Une mise en application rigoureuse
- Des responsabilités clairement définies
- Une supervision par les dirigeants
- Des ressources suffisantes
Faute de prendre ces mesures, la conformité ne restera qu’un banal exercice de routine.
Hausse des Cyberattaques et Nouvelles Menaces
L’ENISA signale une augmentation de la qualité et du nombre des cyberattaques, notamment :
- Une hausse brutale des attaques par rançongiciel en 2023
- Une professionnalisation accrue des offres de cybercriminalité en tant que services
- Un essor considérable de l’ingénierie sociale, avec l’hameçonnage comme principal vecteur
De plus, la mésinformation et la désinformation progressent, alimentées par les élections de 2024 et l’arrivée d’outils d’IA générative. Ces derniers facilitent également les contrefaçons médiocres et l’hameçonnage vocal, deux menaces émergentes pour les organisations.
Vers une Collaboration Renforcée pour une Culture de la Sécurité Forte
Face à ces défis, une approche cloisonnée n’est pas viable. Les gouvernements doivent collaborer plus étroitement entre eux et avec les organismes de régulation pour :
- Élaborer une législation adaptée
- Définir et intégrer des mesures concrètes pour créer une culture de la sécurité forte
Quant aux organisations, elles doivent traiter le défi humain comme tel, et non comme un problème technologique. Contrairement aux ordinateurs, appliquer un « correctif » aux êtres humains exige un effort soutenu de sensibilisation et de formation.
En conjuguant leurs efforts, gouvernements, régulateurs et entreprises peuvent façonner une culture de la sécurité mature et résiliente, clé d’une cybersécurité efficace à l’échelle européenne.
L’UE régule également l’utilisation de l’intelligence artificielle, avec des amendes pouvant atteindre 35 millions d’euros ou 3% du revenu brut en cas de non-conformité.
Gouvernance de la Cybersécurité : Un Défi Majeur
Si la traduction des réglementations en politiques internes est relativement rapide, leur mise en œuvre effective représente un véritable défi. Une gouvernance solide est essentielle pour garantir l’alignement des stratégies et objectifs de cybersécurité, avec :
- Des processus normalisés
- Une mise en application rigoureuse
- Des responsabilités clairement définies
- Une supervision par les dirigeants
- Des ressources suffisantes
Faute de prendre ces mesures, la conformité ne restera qu’un banal exercice de routine.
Hausse des Cyberattaques et Nouvelles Menaces
L’ENISA signale une augmentation de la qualité et du nombre des cyberattaques, notamment :
- Une hausse brutale des attaques par rançongiciel en 2023
- Une professionnalisation accrue des offres de cybercriminalité en tant que services
- Un essor considérable de l’ingénierie sociale, avec l’hameçonnage comme principal vecteur
De plus, la mésinformation et la désinformation progressent, alimentées par les élections de 2024 et l’arrivée d’outils d’IA générative. Ces derniers facilitent également les contrefaçons médiocres et l’hameçonnage vocal, deux menaces émergentes pour les organisations.
Vers une Collaboration Renforcée pour une Culture de la Sécurité Forte
Face à ces défis, une approche cloisonnée n’est pas viable. Les gouvernements doivent collaborer plus étroitement entre eux et avec les organismes de régulation pour :
- Élaborer une législation adaptée
- Définir et intégrer des mesures concrètes pour créer une culture de la sécurité forte
Quant aux organisations, elles doivent traiter le défi humain comme tel, et non comme un problème technologique. Contrairement aux ordinateurs, appliquer un « correctif » aux êtres humains exige un effort soutenu de sensibilisation et de formation.
En conjuguant leurs efforts, gouvernements, régulateurs et entreprises peuvent façonner une culture de la sécurité mature et résiliente, clé d’une cybersécurité efficace à l’échelle européenne.