Les RSSI vont devoir changer de disque

Les responsables de la sécurité des SI (RSSI) sont censés apporter des outils, des méthodes et de la sérénité dans la lutte des entreprises contre les cyber-menaces. Mais ils continuent surtout d’affronter des directions générales qui les critiquent et minimisent les risques. Un problème de communication récurrent et problématique. Car les oiseaux de mauvais augure sont peu audibles, même s’ils disent la vérité.

Deux études qui vont dans le même sens. D’abord, une enquête de l’éditeur Dynatrace relève qu’au niveau mondial, 87 % des 1 300 RSSI d’organisations (de plus de 1 000 employés) interrogés estiment que la sécurité applicative est négligée par les conseils d’administration. En France, ce chiffre est un peu meilleur (81 %), mais guère rassurant pour autant.

Trend Micro confirme l’ordre de grandeur, estimant dans son rapport The CISO Credibility Gap que 79 % des RSSI dans le monde ont le sentiment que les comités exécutifs et autres directions générales minimisent la gravité des risques cyber auxquels leurs organisations sont confrontées.

On peut s’étonner de la contradiction apparente entre les investissements de plus en plus conséquents consentis par les entreprises pour leur cybersécurité et le peu de cas qu’elles font des messages que leur transmettent leurs – chers – RSSI.
Est-ce un problème de forme ou de fond ? Selon Dynatrace, sept dirigeants sur dix voient leurs spécialistes en cybersécurité comme trop techniques.

De l’autre côté du miroir, les trois quarts (75 %) des RSSI reportent leurs difficultés à bien communiquer sur les outils de sécurité qui, selon eux, produisent peu d’informations et de données permettant aux dirigeants et conseils d’administration de comprendre les risques auxquels font face leurs organisations.

Commentant son étude, le CTO de Dynatrace Bernd Greifeneder, explique que, certes, comme « les incidents de cybersécurité peuvent avoir des conséquences dévastatrices sur les organisations et leurs clients (…), ce sujet est devenu, à juste titre, une préoccupation majeure au niveau des conseils d’administration ».

Mais le courant a décidément du mal à passer entre les parties prenantes : « De nombreux RSSI peinent à trouver un alignement entre les équipes de sécurité et les dirigeants seniors parce qu’ils ne savent pas comment traduire des problématiques exclusivement techniques en risques spécifiquement business. Les RSSI doivent urgemment trouver une façon de surmonter ces barrières et créer une culture où la cybersécurité devient une responsabilité partagée. C’est à cette condition qu’ils pourront améliorer leur capacité à répondre efficacement aux incidents de sécurité et minimiser leur exposition aux risques. »

Apprendre à parler business

Le résultat est en tout cas inquiétant : selon Trend Micro, en France, seuls 56 % des RSSI estiment que leurs dirigeants comprennent parfaitement ces risques cyber. Et ce qui pourrait passer pour de la légèreté engendre aussi des comportements dangereux. Par exemple, 79 % des professionnels de la cybersécurité ont déjà ressenti des pressions de la direction générale ou du conseil d’administration pour minimiser la gravité des risques cyber.

Avec des reproches même pas voilés : ils sont jugés « répétitifs » dans leur communication (pour 43 % d’entre eux) ou « trop négatifs » (42 %).

Cassandre, reviens, il y a encore du travail !

Les DSI, qui ont longtemps fait face à des critiques analogues avant d’apprendre à parler business et aux métiers, pourront en tout cas expliquer aux RSSI ce qu’il convient de faire, et que leur suggère aussi Trend Micro.

La priorité, selon l’éditeur, serait de démontrer les impacts chiffrés de leur stratégie de cybersécurité, ce que 62 % du panel de son étude admet avoir déjà eu des difficultés à faire.

Ils sont en revanche la moitié ou presque (46 %) à confirmer qu’ils se sont sentis davantage écoutés par leur direction lorsqu’ils ont pu produire ces données concernant la fraude, les coûts de remédiation, les pertes de productivité, les atteintes à la réputation, etc. Le message est a priori bien reçu puisque 58 % des RSSI estiment devoir améliorer leurs compétences en communication pour remédier à ce défi de crédibilité.

En conclusion, Trend Micro enfonce le clou : les professionnels qui savent mesurer la valeur business de leur stratégie de cybersécurité se voient confier plus de responsabilités (pour 45 % d’entre eux), attribuer plus de budget (43 %), et sont même appelés à rejoindre le Comex (41 %).

DevSecOps, un must difficile à atteindre

Les RSSI croient beaucoup à l’automatisation DevSecOps pour limiter les risques malgré le raccourcissement des cycles de développement ou les nouvelles menaces nées du déploiement de l’IA générative dans la production de code. Ils sont 77 % à se dire convaincus de la pertinence de l’approche, mais 73 % à connaître des difficultés pour piloter cette démarche, en raison notamment de la multitude d’outils de sécurité applicative présents dans leur organisation.
Seuls 11 % des RSSI estiment leur entreprise ou leur administration au bon niveau de maturité en termes de DevSecOps.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !