Le rôle évolutif des RSSI : de l’arrière-plan à la salle du conseil

Par Jim Wetekamp, PDG de Riskonnect

L’époque où les responsables de la sécurité des systèmes d’information travaillaient dans l’ombre est révolue. Les RSSI d’aujourd’hui sont considérés comme des partenaires stratégiques de l’entreprise. En effet, une étude de Deloitte montre une augmentation significative de l’implication des RSSI dans les conversations stratégiques et que davantage de RSSI rendent désormais directement compte au PDG.

Les organisations s’appuient sur la technologie pour leur stratégie, leur croissance et leurs revenus. La disponibilité et le temps de fonctionnement des systèmes sont non négociables, pourtant une augmentation des menaces numériques expose constamment les entreprises à des risques de perturbation. Les conseils d’administration exigent que les RSSI et les dirigeants technologiques anticipent et gèrent proactivement cet éventail croissant de risques pour protéger la technologie critique de l’organisation. Le rôle du RSSI et la manière dont ces dirigeants abordent les menaces évoluent fondamentalement en conséquence.

Nouvelle génération de risques numériques

Les RSSI font face à un large éventail de risques numériques en évolution qui rendent plus difficile que jamais de maintenir l’organisation et sa technologie sécurisées et fonctionnant sans heurts.

Adoption technologique

Quatre-vingts pour cent des cadres supérieurs ont l’intention d’augmenter les dépenses en nouvelles technologies cette année. Les entreprises adoptent stratégiquement des outils d’IA, l’automatisation, la technologie cloud et d’autres technologies avancées et émergentes pour stimuler la productivité, rationaliser les opérations, améliorer la prise de décision, améliorer l’expérience client et, en fin de compte, maintenir un avantage concurrentiel.

Chaque nouvelle technologie adoptée par l’organisation expose cependant l’entreprise à des risques. Bien que ces nouveaux outils offrent de nombreux avantages, ils élargissent également la surface d’attaque et créent des vulnérabilités. Les nouveaux outils peuvent également réduire les performances globales du système et entraîner des temps d’arrêt potentiels lors du déploiement s’ils ne sont pas intégrés de manière transparente aux systèmes existants.

Menaces avancées de cybersécurité

Le risque cyber dépasse désormais les risques économiques et de talents comme principale préoccupation des organisations. Selon le Rapport sur la Nouvelle Génération de Risques de Riskonnect, 72 % des dirigeants affirment que les menaces cyber ont un impact significatif sur leur organisation. Vingt-quatre pour cent des dirigeants citent spécifiquement les attaques alimentées par l’IA – telles que les rançongiciels, l’hameçonnage et les deepfakes – comme leur principal risque commercial pour les 12 prochains mois. Malgré cette menace croissante, 80 % des organisations ne disposent pas d’une stratégie dédiée pour faire face aux attaques frauduleuses basées sur l’IA et autres risques liés à l’IA générative, ce qui laisse les organisations exposées.

La cybercriminalité coûte aux entreprises environ 10,5 billions de dollars annuellement. Le coût moyen mondial d’une violation de données est actuellement estimé à 4,45 millions de dollars. Les demandes de rançongiciel s’élèvent en moyenne à 2 millions de dollars, plus 2,75 millions de dollars supplémentaires en frais de nettoyage. Les conséquences de la cybercriminalité vont au-delà des pertes financières. Une seule brèche ou attaque peut entraîner des dommages réputationnels, un examen réglementaire et des perturbations opérationnelles aux effets durables. Compte tenu de l’impact commercial de ces risques, il est logique que l’influence des RSSI s’accroisse et que ces dirigeants technologiques soient de plus en plus considérés comme des partenaires stratégiques de l’entreprise.

Un manque de gouvernance de l’IA

L’intégration rapide de l’IA dans les opérations commerciales crée des défis majeurs en matière de gouvernance et de surveillance. Seules 8 % des organisations se sentent préparées aux risques liés à l’IA et à sa gouvernance. Seulement 19 % des organisations ont formellement formé ou informé l’ensemble de leur organisation sur les risques de l’IA générative.

Les menaces internes sont tout aussi sérieuses que celles qui proviennent de l’extérieur de l’organisation. Les employés, partenaires, sous-traitants et fournisseurs ayant accès au système peuvent compromettre la sécurité, de manière malveillante ou involontaire, allant de l’exposition accidentelle de données due à une manipulation incorrecte au vol délibéré de données et à l’extorsion. Il existe également le risque de défaillances du système dues à une utilisation incorrecte des outils d’IA par les employés ou à des décisions ou modifications non autorisées prises par le modèle d’IA. La pression pour générer rapidement de la valeur à partir de l’IA pourrait également conduire les équipes à négliger la gouvernance de sécurité ou à contourner complètement la fonction informatique.

Risques liés aux tiers

À mesure que davantage de fournisseurs adoptent des outils d’IA, le risque lié aux tiers croît de façon exponentielle. Au moins 15 % des violations de données impliquent un tiers ou un fournisseur, certaines estimations étant plus proches d’un tiers ou plus, et l’IA amplifie davantage ce risque. Soixante-cinq pour cent des organisations manquent de politiques régissant l’utilisation de l’IA parmi les fournisseurs, ce qui crée des failles de sécurité critiques. Mais l’IA n’est pas le seul facteur. Une mise à jour logicielle défectueuse, comme dans le cas de l’incident notoire CrowdStrike, ou un autre événement chez un partenaire fournisseur pourrait interrompre vos opérations critiques si vous n’avez pas mis en place une approche globale de gestion des risques numériques.

Comment le rôle du RSSI évolue

Auparavant, les RSSI se concentraient sur la protection des informations de l’entreprise. L’accent était mis sur la mise en œuvre de mesures de sécurité telles que les pare-feu, les systèmes de détection d’intrusion et le chiffrement des données pour se prémunir contre les menaces potentielles. Mais compte tenu de la dépendance croissante à la disponibilité des systèmes et de l’éventail et de la gravité des menaces numériques sur les systèmes des organisations, le risque informatique est désormais un risque commercial fondamental – et les attentes envers le rôle du RSSI sont d’autant plus importantes.

Les RSSI doivent avoir une compréhension approfondie de l’exposition et de la résilience de l’organisation face à l’ensemble des risques numériques – pas seulement les violations de données et les problèmes de sécurité de l’information. On s’attend à ce qu’ils :

• Protègent la technologie critique et les aspirations futures de l’organisation contre les cybermenaces.
• Développent et mettent en œuvre une stratégie globale pour traiter la cybersécurité, le risque informatique, la résilience, la continuité des activités, la conformité, l’IA, le risque lié aux tiers, et plus encore.
• Favorisent la résilience numérique et aident l’entreprise à se remettre rapidement des événements qui surviennent.
• Fournissent des informations au conseil d’administration sur l’efficacité des processus et des contrôles.
• Identifient les changements nécessaires dans les pratiques informatiques, de cybersécurité et d’IA pour protéger l’entreprise.
• Transmettent les informations techniques d’une manière compréhensible pour les autres dirigeants et les utilisateurs de première ligne dans toute l’organisation.

Le rôle du RSSI se transforme. Et il en va de même pour la façon dont ces dirigeants technologiques abordent la gestion des risques numériques qui pourraient faire tomber l’entreprise instantanément.

Trois façons de maximiser l’impact du RSSI

Il existe trois étapes que les RSSI doivent envisager pour répondre à leurs attentes croissantes et assumer leurs responsabilités grandissantes en matière de protection de la technologie précieuse et des aspirations et de la viabilité futures de l’organisation.

1. Changez votre état d’esprit au-delà de la « détection. »

Les systèmes de détection d’intrusion, les systèmes de gestion des informations et des événements de sécurité, les scanners de vulnérabilités et d’autres outils ont certainement encore leur place. Mais ils ne sont pas la solution ultime. Même les mesures de cybersécurité les plus avancées ne peuvent pas éliminer votre risque. À mesure que les attentes envers les RSSI grandissent et évoluent, les approches de gestion des risques doivent se transformer en parallèle.

Les risques numériques d’aujourd’hui s’étendent bien au-delà des logiciels malveillants et des violations pour inclure les défis réglementaires, les vulnérabilités des tiers et les perturbations opérationnelles. Les RSSI ont besoin d’une approche proactive et holistique pour prévenir, gérer et se remettre de l’ensemble du spectre des risques numériques. Se concentrer uniquement sur la détection des vulnérabilités, des attaques et des mésaventures néglige des sources critiques de risque et laisse les organisations exposées.

2. Concentrez-vous sur une stratégie unifiée de gestion des risques technologiques.

L’époque où l’on inventoriait les risques, identifiait les anomalies et corrigeait les vulnérabilités composant par composant est révolue. La surface d’attaque et le spectre des risques d’aujourd’hui sont tout simplement trop vastes. Il y a trop d’actifs, de systèmes, de services commerciaux, d’utilisateurs, d’équipes, de contrôles, de serveurs, d’appareils et de réglementations à gérer. Les risques sont également interconnectés et peuvent s’étendre à l’ensemble de l’entreprise. La seule façon de rester au-dessus de tout cela est d’adopter une approche proactive, complète et structurée qui coordonne plusieurs parties prenantes et départements.

Les RSSI de premier plan reconnaissent l’ampleur des risques numériques qui pourraient nuire à l’entreprise. Gérer les risques technologiques signifie non seulement obtenir un aperçu des risques et des contrôles informatiques, mais aussi des risques liés aux tiers, de la conformité, de la continuité des activités, de la résilience, de la confidentialité des données, et plus encore.

L’accent est maintenant passé de la gestion des risques informatiques à la gestion des risques technologiques. La gestion des risques technologiques identifie, anticipe et traite les risques plus larges de défaillance technologique pour assurer des opérations fluides et ininterrompues. Elle rassemble divers domaines de risque et les stratégies, processus, systèmes, finances et personnes pour gérer les risques dans toute l’organisation, y compris les cyberattaques, les demandes de rançon, les violations de données, les pannes de service, les pannes d’équipement, les erreurs humaines, et plus encore.

Une stratégie unifiée nécessite également une collaboration étroite avec la direction exécutive, les équipes informatiques, les unités commerciales et les partenaires externes pour favoriser une culture de résilience et de responsabilité partagée.

3. Obtenir une vue holistique des risques numériques.

Les RSSI doivent savoir où se situent les risques numériques de l’organisation, ce qu’ils signifient, comment ils sont liés à la stratégie commerciale et comment y faire face. Commencez par identifier les actifs technologiques et les partenaires de l’organisation. Répertoriez tous les réseaux, appareils, infrastructures, logiciels, données, processus et personnes. Cela inclut les développeurs, les utilisateurs, le personnel technique et les autres personnes qui exploitent la technologie.

Ensuite, évaluez les risques. Examinez l’infrastructure numérique, les systèmes, les processus, les vulnérabilités et les contrôles existants de l’organisation. Déterminez la probabilité et l’impact potentiel de ces risques provenant de sources internes et externes.

Certains risques sont importants à éviter complètement car ils ne valent pas les dommages potentiels. D’autres pourraient valoir la peine d’être acceptés, comme les risques liés aux nouvelles technologies. Il pourrait également y avoir des risques qu’il est préférable de transférer à une autre partie, généralement par le biais d’une assurance ou d’une externalisation. Réévaluez régulièrement ces risques et les plans de réponse, et ajustez les plans si nécessaire. Anticipez ces risques émergents et d’autres en surveillant continuellement le paysage des menaces numériques et en planifiant divers scénarios.

Un éclairage sur les RSSI

C’est une période passionnante pour les RSSI. La transformation numérique s’accélère dans tous les secteurs, et leur rôle s’étend rapidement pour relever les défis croissants liés à l’exploitation d’une entreprise à l’ère numérique. Les RSSI détiennent les clés pour garantir que l’entreprise puisse adopter en toute confiance de nouvelles technologies sans compromettre la sécurité ou la stabilité.

À propos de l’auteur

Jim Wetekamp est le PDG de Riskonnect, un fournisseur leader de logiciels de gestion intégrée des risques. Il est un expert reconnu en matière de risques assurables, de risques d’entreprise et de résilience.