Selon une étude du Ponemon Institute pour Tripwire, 61% des responsables IT et SSI n’informent pas suffisamment leur Direction Générale des risques IT.

Les raisons invoquées sont intéressantes :

• L’organisation de l’entreprise est trop en silos
• La communication existe bien, mais seulement dans le bas de la hiérarchie
• L’information est trop technique pour intéresser les décideurs
• Les informations négatives sont supprimées avant d’arriver aux décideurs (chez près de 50% des entreprises !)
• La préparation de rapports adaptés aux décideurs prend trop de temps

Pourtant, dans une autre étude, Ponemon observe que la cyber-sécurité n’est plus désormais considérée par les décideurs comme un sujet purement technique mais bien comme un risque d’entreprise.

Autrement dit, il y a d’un côté des experts qui maîtrisent la technique, savent échanger entre eux et comprennent les risques, et de l’autre des dirigeants qui considèrent enfin le risque IT comme un sujet d’entreprise. Le problème, comme souvent, se situe donc entre les deux. En l’occurrence, il s’agirait ici du middle-management, plus occupé à retirer les mauvaises nouvelles des rapports afin de protéger ses positions qu’à jouer son rôle de traducteur et d’intermédiaire…