Secu
RSSI, un rôle stratégique au sein des entreprises
Par La rédaction, publié le 20 décembre 2023
Les enjeux de la cybersécurité sont devenus de plus en plus complexes au fil des 10 dernières années. Une attaque en ligne peut en effet paralyser l’activité d’une entreprise, avec des conséquences significatives sur sa réputation et sa conformité réglementaire. Les décisions stratégiques sur la sécurité se prennent donc aujourd’hui au niveau du conseil d’administration, ce qui a entraîné une évolution significative du rôle de responsable de la sécurité des systèmes d’information.
Par Lamont Orange, RSSI chez Netskope
Le taux des cyberattaques augmente aujourd’hui à un rythme alarmant. Selon une étude récente de Gartner, 45 % des entreprises et administrations subiront des attaques sur leurs chaînes d’approvisionnement numérique d’ici 2025. Les données devenant rapidement un atout majeur pour les entreprises, notamment avec l’essor de l’IA générative, les RSSI ne sont plus simplement des experts chargés de sécuriser les systèmes informatiques : ils jouent désormais un rôle stratégique dans la gestion de ces données, dans la formation et la sensibilisation des cadres et dirigeants ainsi que dans la mise en œuvre tactique de leurs propres plans de transformation numérique.
Un rôle qui reflète les évolutions de la cybersécurité
Les RSSI ont toujours été responsables de la mise en œuvre des initiatives de sécurité dans l’entreprise, mais aussi du développement, de l’implémentation et de la supervision des stratégies et des politiques qui protègent ses données et ses systèmes.
Cette responsabilité est devenue de plus en plus complexe à mesure que le modèle traditionnel de réseau sur site a laissé place au cloud et à une adoption généralisée du télétravail. Comme cette évolution s’est accompagnée d’une multiplication des réglementations visant à protéger les données individuelles, les RSSI doivent désormais collaborer avec un plus grand nombre d’équipes opérationnelles, dont celles qui sont responsables du réseau et celles qui assurent la gestion des risques.
Aujourd’hui, les RSSI jouent un rôle essentiel lorsqu’il s’agit d’intégrer la cybersécurité dans les activités de l’entreprise. Pour ce faire, ils doivent avoir une compréhension claire des objectifs de l’organisation et être capables d’appliquer le niveau de sécurité adéquat à ses différentes politiques, tout en assurant un bon retour sur investissement. Face aux désaccords susceptibles d’opposer, par exemple, les équipes chargées des réseaux et les responsables de la sécurité en matière de performances et d’exposition aux risques, les RSSI doivent être capables d’arbitrer les échanges et d’élaborer des politiques répondant aux objectifs des deux camps.
Parallèlement, le renforcement des outils de cybersécurité et la montée des investissements dans ce domaine s’accompagnent d’une augmentation du nombre de collaborateurs spécialisés dans la sécurité au sein des entreprises. Cela signifie que les RSSI doivent gérer des équipes de sécurité de plus en plus importantes. Une étude d’ISACA a d’ailleurs montré que 48 % des professionnels de la sécurité dépendent d’un RSSI.
À LIRE AUSSI :
Le cas échéant, les RSSI doivent être en mesure d’imposer des politiques plus strictes et d’en démontrer le bien-fondé à tous les niveaux d’une entreprise, direction générale incluse. Ils doivent ainsi travailler en étroite collaboration avec d’autres responsables pour s’assurer que leur programme de sécurité est efficace et rentable, et qu’il favorise l’activité de l’entreprise plutôt que de l’entraver. Forts de cette mission élargie, les RSSI doivent également faire le lien entre les collaborateurs techniques et non techniques, en portant une attention particulière aux bonnes relations entre les uns et les autres et au développement de liens de confiance mutuels.
Dans le secteur de la cybersécurité, la confiance est un sujet omniprésent, comme en témoigne l’approche Zero Trust, mais les RSSI modernes doivent également développer cette confiance avec leurs collègues, pour mettre en œuvre leurs politiques de sécurité, ainsi qu’avec leurs clients afin de leur montrer que l’organisation prend les mesures nécessaires pour protéger leurs données.
Intelligence artificielle à tous les étages
Aujourd’hui, les RSSI doivent suivre de très près les avantages et les menaces que présentent les technologies en évolution rapide, et plus récemment l’Intelligence Artificielle (IA). Comme pour toute technologie émergente, les RSSI ont d’abord été sceptiques, voire effrayés en tant qu’outil susceptible d’être utilisé par des acteurs malveillants ou d’exposer par inadvertance les données de l’entreprise.
C’est indéniable, l’IA a le vent en poupe : notre récent rapport montre que l’utilisation des applications d’IA dans les entreprises a connu une augmentation de 22,5 % rien qu’en mai et juin cette année. Cette nouvelle technologie n’est donc pas près de disparaître. Les RSSI ont ainsi dû comprendre comment les cybercriminels l’utilisent afin d’être en mesure d’anticiper et d’identifier les menaces pour y répondre plus rapidement et avec plus de précision. Ils ont également été amenés à adopter cette technologie en l’intégrant à leurs propres solutions de sécurité.
L’intelligence artificielle a le potentiel de révolutionner les pratiques de travail, puisque l’automatisation peut être appliquée à un large éventail de processus, notamment dans les domaines du marketing, du juridique et des RH. Il revient ainsi aux RSSI d’aider les autres responsables à prendre des décisions clés sur la manière de rendre cette transition aussi harmonieuse que possible sans mise en péril des données confidentielles.
À LIRE AUSSI :
Une fonction stratégique proactive, axée sur la gestion des risques
En passant d’un rôle d’expert technique à celui de membre à part entière de l’équipe de direction, les RSSI interagissent désormais autant, sinon plus, avec des personnes qu’avec des machines. Ils doivent donc acquérir les compétences nécessaires pour communiquer avec les collaborateurs à tous les niveaux de l’entreprise et maîtriser des méthodes comme le storytelling pour mieux convaincre et impliquer chacun dans un effort commun.
Cette évolution est évidente lorsque l’on voit le nombre de très bons RSSI qui viennent de disciplines et d’horizons différents, comme la finance, les opérations commerciales et même l’analyse de données, plutôt que d’avoir une formation technique en cybersécurité. Cette diversité contribue à façonner un rôle plus adapté aux complexités auxquelles le secteur est aujourd’hui confronté.
Alors que la cybersécurité a atteint les conseils d’administration, le rôle de RSSI, auparavant purement technique et réactif, assure désormais une fonction stratégique proactive axée sur la gestion des risques. Dialoguant désormais avec de multiples services au sein d’une entreprise, il fait partie intégrante de sa stratégie globale et de sa réussite dans un monde de plus en plus numérique et interconnecté.
À LIRE AUSSI :