DBIR 2025 de Verizon et votre conseil d'administration : ce qu'ils ignorent

Comparaison du DBIR 2025 de Verizon et de votre conseil d'administration : ce qu'ils ont manqué

Par Phil Muncaster • 24 Juin 2025

Les RSSI sont de plus en plus invités aux réunions du conseil d'administration. Enquête Splunk Une étude de janvier a révélé que 83 % des personnes interrogées participent assez souvent ou la plupart du temps, tandis qu'une proportion similaire interagit directement avec le PDG. Pourtant, moins d'un tiers des répondants déclarent que le conseil d'administration comprend un ou plusieurs membres experts en cybersécurité. Cela signifie que les RSSI peuvent s'exprimer sans être réellement entendus.

Le rapport d'enquête sur les violations de données de Verizon (DBIR) est une excellente occasion de rétablir la vérité. Il regorge d'informations précieuses sur le paysage des menaces, qui pourraient servir de tremplin à des discussions stratégiques. Les RSSI qui n'abordent pas ces tendances en matière de violations lors des réunions de direction risquent d'exposer leur organisation à des risques.

Une panne de communication ?

Les recherches nous montrent que dans de nombreuses organisations, les RSSI ne parlent pas la langue du conseil d'administration/de l'entreprise, ou le conseil d'administration ne veut pas les écouter, ou les deux. Recherche FTI Consulting L'étude révèle que près d'un tiers (31 %) des dirigeants ne maîtrisent pas parfaitement les concepts techniques utilisés par le RSSI et que plus de la moitié (58 %) d'entre eux peinent à communiquer ce langage de manière compréhensible par la direction. Un autre tiers des dirigeants affirment que leur RSSI hésite à leur signaler d'éventuels problèmes de sécurité.

Mais le problème est à double tranchant. Étude de Trend Micro Une étude de 2024 révèle que quatre RSSI sur cinq (79 %) dans le monde ont ressenti une pression de leur conseil d'administration pour minimiser la gravité des cyber-risques, souvent perçus comme « harcelants » ou « trop négatifs ». Un tiers d'entre eux affirment avoir été écartés d'emblée. Ce constat s'explique par une accusation courante : les conseils d'administration considèrent toujours la cybersécurité comme une affaire relevant du service informatique et non de l'entreprise. Seule la moitié (54 %) des RSSI interrogés par Trend se disent convaincus que leur conseil d'administration comprend parfaitement les cyber-risques de l'organisation, un chiffre qui n'a pratiquement pas évolué en trois ans.

« Le conseil d'administration est à l'écoute lorsque le cyberrisque évoque un risque commercial ; c'est ainsi que l'on passe de la salle des serveurs à la salle du conseil. Les RSSI doivent traduire la complexité technique en pertinence commerciale », conseille Mick Baccio, conseiller en sécurité mondiale chez Splunk SURGe.

Pour être entendus, ils doivent combler ce fossé et considérer la cybersécurité comme un levier d'activité : aligner les indicateurs de sécurité sur la protection des revenus, la conformité réglementaire et la confiance des clients. Il est tout aussi important de nouer des relations informelles avec les membres du conseil d'administration pour devenir un conseiller de confiance, et non un simple messager de la conformité.

Tendances à surveiller en matière de violations du DBIR

Si les RSSI parviennent à obtenir l'attention de leur conseil d'administration, de quoi devraient-ils s'inquiéter ? Verizon dernier DBIR Ce rapport s'appuie sur l'analyse de plus de 22,000 12,195 incidents de sécurité, dont XNUMX XNUMX violations de données confirmées. Il met en évidence plusieurs tendances préoccupantes, notamment :

Augmentation annuelle des « intrusions dans les systèmes » de 36 % à 53 % des violations de données. Il s'agit d'attaques plus sophistiquées caractérisées par des logiciels malveillants et du piratage.
Ce constat s'explique par une forte augmentation des attaques par rançongiciel, dont le nombre a augmenté de 37 % depuis l'année dernière et qui sont désormais présentes dans 44 % des violations, malgré une baisse du montant médian des rançons versées. Les PME sont touchées de manière disproportionnée.
40 % des victimes de ransomware ont vu leurs adresses e-mail professionnelles volées par des voleurs d'informations.
L’abus d’identifiants (22 %), l’exploitation des vulnérabilités (20 %) et le phishing (19 %) étaient les principaux vecteurs d’attaque de violation de données.
L'IA générative représente un risque croissant sur deux fronts : le nombre de textes générés synthétiquement dans les e-mails malveillants (hameçonnage) a doublé au cours des deux dernières années, tandis que 14 % des employés accèdent régulièrement aux systèmes GenAI sur leurs appareils professionnels. Une majorité (72 %) utilisait une adresse e-mail non professionnelle comme identifiant de compte, ce qui suggère une utilisation de l'IA fantôme.
L’implication humaine dans les violations reste élevée, autour de 60 %, notamment en cas d’abus d’informations d’identification et d’ingénierie sociale.
On a constaté une augmentation de 34 % de l'exploitation des vulnérabilités comme vecteur d'attaque, notamment les exploits zero-day ciblant les périphériques et les VPN. Seule la moitié (54 %) des vulnérabilités des périphériques ont été entièrement corrigées, et le délai médian pour y parvenir était de 32 jours.
Le pourcentage de violations impliquant des tiers a doublé pour atteindre 30 %.
Le BYOD reste une menace : 46 % des systèmes compromis par des voleurs d'informations avec des identifiants d'entreprise volés étaient des appareils personnels.

Les RSSI devraient avoir des discussions sur le « réalisme des risques » avec leurs conseils d’administration à la lumière de ces conclusions, déclare Baccio.

« Si votre plan de crise s'arrête à votre propre pare-feu, vous n'avez pas de plan de crise. « Le rapport de Verizon est clair : la surface d’attaque s’est étendue et les attaquants exploitent simultanément les couches humaines, techniques et logistiques. Les dirigeants doivent aller au-delà des cases à cocher et se demander : « Où sommes-nous vraiment les plus vulnérables ? » a-t-il déclaré à ISMS.online.

Les risques liés aux tiers et l'exposition aux périphériques doivent être traités comme des menaces à la continuité des activités, et non comme de simples problèmes informatiques. Le conseil d'administration doit exiger une planification régulière des scénarios en cas d'utilisation frauduleuse des identifiants, d'extorsion par rançongiciel et de fuites de données internes.

Jonathan Lee, directeur de la stratégie cybernétique de Trend Micro, estime que le rapport devrait être un autre « signal d'alarme » pour les conseils d'administration quant à la nécessité d'aligner la stratégie de sécurité sur la résilience opérationnelle.

« Il suffit de regarder les récents incidents très médiatisés qui ont touché les détaillants britanniques pour constater les pertes de revenus, de bénéfices et de réputation qu'une attaque peut entraîner. Dans certains cas, une violation de données peut représenter une menace existentielle pour une organisation. Dans le contexte du service public, cela peut également avoir un impact physique réel, comme le préjudice clinique causé par l'attaque de la chaîne d'approvisionnement du NHS contre Synnovis », explique-t-il à ISMS.online.

Il ne suffit pas de reconnaître l'existence de ces risques et de les consigner dans un registre. Pourquoi attendre qu'une faille de sécurité touche votre organisation ? Ne vaut-il pas mieux être proactif et préparé, plutôt que réactif et impréparé si le pire devait arriver ?

Combler le fossé grâce aux programmes de conformité

Les normes de bonnes pratiques comme ISO 27001 peuvent être utiles ici en fournissant aux conseils d’administration et aux responsables de la sécurité un langage commun et une approche basée sur les risques permettant d’améliorer la cyber-résilience.

« Les cadres de conformité ne stopperont pas tous les attaquants, mais ils éviteront le chaos dans votre réponse. Des cadres comme ISO 27001 et SOC 2 offrent un langage et une structure communs pour aligner les contrôles de cybersécurité sur les objectifs de l'entreprise », explique Baccio de Splunk.

« Elles offrent des preuves reproductibles et vérifiables de la gestion des risques sans être aussi prescriptives ou lentes que des réglementations comme NIS2. Leur valeur ne réside pas seulement dans la certification, mais aussi dans la rigueur et la clarté qu'elle apporte à la stratégie et au reporting en matière de cybersécurité. »

Lee de Trend Micro affirme que ces normes peuvent même fournir une rampe d'accès pratique à la conformité avec des réglementations telles que NIS2 et le prochain projet de loi britannique sur la cybersécurité et la résilience.

« En plus de renforcer les défenses contre les attaquants, une telle approche démontre également un engagement à maintenir des normes de sécurité élevées pour votre chaîne d'approvisionnement et vos partenaires interconnectés numériquement », conclut-il.

« En utilisant ces programmes de conformité, les RSSI peuvent combler le fossé entre la cybersécurité et leurs organisations, en veillant à ce que les mesures de sécurité soient considérées comme un élément essentiel du succès et de la résilience de leur organisation. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster