Les dirigeants de la sécurité se retrouvent dans une obligation entre les directives des entreprises et la responsabilité réglementaire, avec une responsabilité personnelle et un engagement de sécurité du conseil d’administration en jeu.
Les CISO sont de plus en plus prises entre les pressions commerciales et les obligations réglementaires, les laissant avoir du mal à équilibrer la loyauté des entreprises et la responsabilité juridique.
À savoir: un chef de sécurité sur cinq (21%) a été contraint par d’autres dirigeants ou membres du conseil d’administration pour ne pas signaler les problèmes de conformité dans leurs entreprises, selon une étude récente du fournisseur de sécurité Splunk.
La même étude – qui était basée sur une enquête auprès de 600 cisos ou des dirigeants de sécurité équivalents du monde entier – a révélé que 59% des CISO deviendraient des dénonciateurs si leur organisation ignorait les exigences de conformité, suggérant que de nombreux leaders de la sécurité reconnaissent les risques d’inaction.
Examen réglementaire accru
«La pression sur les CISO pour retenir les problèmes de conformité n’est pas seulement contraire à l’éthique; C’est un risque grave pour leur responsabilité personnelle et la résilience à long terme de leur organisation », a déclaré Sam Peters, chef de produit chez les spécialistes de la gestion de la conformité Isms.online.
« Dans le cadre de cadres réglementaires tels que les règles de divulgation de la SEC ainsi que des cadres juridiques tels que NIS2 et Dora, le non-signalement des incidents de sécurité peut entraîner des conséquences juridiques et financières importantes, non seulement pour les CISO mais aussi pour les membres du conseil d’administration », a-t-il ajouté.
Avec l’augmentation de l’examen réglementaire et la montée en puissance de la responsabilité personnelle pour les dirigeants de la sécurité, en particulier en vertu de régimes tels que le règlement général de la protection des données de l’UE (RGPD), les réglementations SEC et les lois critiques des infrastructures – les CISO doivent naviguer dans une ligne fine problèmes.
Matthias Held, responsable du programme technique chez BugCrowd, et un ancien CISO, ont déclaré que la pression des CISO est confrontée des conseils pour minimiser ou éviter de signaler les problèmes de conformité révèle des problèmes plus profonds et systémiques dans la façon dont la sécurité est perçue au niveau exécutif.
« Les conclusions du rapport Splunk sont alarmantes mais, malheureusement, pas surprenantes », a déclaré Hold. «Nous avons vu des cas comme l’ancien CISO Uber où la responsabilité juridique a été déplacée vers le leadership en matière de sécurité plutôt que de s’attaquer à la cause profonde – prise de décision des entreprises qui hiérarte les optiques sur la sécurité.»
Bryan Marlatt, directeur régional de la société de conseil en cybersécurité Cyxcel, a déclaré que même si les régulateurs ont besoin de notifications du programme de cybersécurité d’une organisation et d’incidents actifs, les conseils sont souvent plus préoccupés par la gestion de la réputation.
Marlatt a ajouté: «En tant qu’ancien CISO, je m’arrivais. Suite à une directive visant à déformer les risques de l’organisation au comité d’audit et à embellir les capacités du programme de cybersécurité sur le formulaire SEC 10-K, j’ai choisi de quitter l’organisation. »
Déconnexion de sécurité
Les CISO restent sous une pression immense pour se conformer aux réglementations existantes et à venir, la plus récente étant Dora, qui est entrée en vigueur en janvier 2025.
Les dirigeants de la sécurité ont besoin d’un soutien exécutif et d’une culture de sécurité solide pour garantir que la conformité n’est pas traitée comme un exercice de case à cocher mais comme un élément fondamental de l’intégrité des entreprises et de la responsabilité juridique.
Jonathan Gill, PDG de Panaseer, a déclaré que parce que les régulateurs insistent sur la comptabilité à bord, «les CISO sont plus approfondis et pressés pour fournir des assurances plus fortes sur les contrôles de sécurité que jamais.»
« Certains cisos ont même été contraints de plâtre sur les mailles du filet avec une assurance personnelle d’indemnisation », a déclaré Gill. «Mais cela traite les symptômes sans aborder les causes. Si cette culture du jeu de blâme se poursuit tandis que les CISO sont restées impuissantes pour fournir des assurances précises, beaucoup quitteront l’industrie. »
Et avec une responsabilité personnelle aigorant 70% des CISO sur leur rôle, entre autres facteurs, près d’un chef de sécurité sur quatre cherche activement à quitter leur emploi.
Créer une culture de conformité
Une étude récente du fournisseur de sécurité Thales a révélé que les 43% des entreprises ont échoué à un audit de conformité au cours des 12 mois précédents étaient beaucoup plus susceptibles de subir une violation de la sécurité – une conclusion qui montre que la conformité peut stimuler la résilience opérationnelle.
« Pouvoir dire: » Nous sommes conformes à XYZ « , est un avantage concurrentiel, en particulier dans les industries ayant des exigences réglementaires strictes », selon BugCrowd’s Hold.
Les meilleures pratiques pour les CISO sur leur parcours de conformité comprennent la mise en œuvre d’un plan de réponse aux incidents bien documentée, d’assurer l’adhésion au niveau du conseil d’administration pour la gouvernance de la sécurité et de favoriser une culture d’entreprise où la conformité est une responsabilité partagée plutôt qu’un fardeau.
Des programmes réguliers de formation et de sensibilisation devraient être mis en œuvre pour éduquer les employés sur les exigences de conformité et leur rôle dans le maintien des normes de sécurité.
Joe Hubback, CISO et associé chez Tech Consultancy Elixirr, ont déclaré: «Les CISO doivent promouvoir le comportement et la responsabilité conscients des risques à travers l’organisation en encourageant la communication ouverte, y compris la déclaration des problèmes de conformité.»
