Le RSSI moderne devient le prochain CFO

Lucas Morel

Le cyber-risque est désormais un risque commercial, transformant le RSSI d’un responsable technique de back-office en un cadre aux enjeux élevés qui s’approprie les décisions à l’échelle de l’entreprise.

À un moment donné, chaque responsable de la sécurité se voit poser une version de la même question : elle a tendance à se poser lorsque quelque chose est en jeu et la personne qui pose la question doit savoir qu’elle peut compter sur la réponse.

J’ai appris ce que cette question signifie réellement dans une entreprise dans laquelle je travaillais plus tôt dans ma carrière. Nous avions reçu des informations selon lesquelles les acteurs de la menace se préparaient à s’en prendre aux sociétés de services financiers pendant les vacances, comptant sur un effectif réduit et des délais de réponse plus lents. Nous avions des procédures pour exactement ce type d’alerte renforcée, et nous les avons appliquées. Le moment qui m’est resté est survenu dans un couloir. Le chef d’entreprise m’a arrêté et m’a demandé clairement : « Est-ce que ça va ? Il ne demandait pas un rapport de situation sur nos contrôles ou une présentation pas à pas de notre plan de réponse aux incidents. Il voulait qu’un leader chevronné le regarde et dise, avec conviction, que nous étions bons.

Cet instinct, le besoin d’une personne suffisamment responsable pour dire « nous sommes bons » et le penser, est au centre d’un débat que le secteur de la cybersécurité ne cesse d’avoir : le rôle du RSSI est-il devenu insoutenable ? La liste des responsabilités ne cesse de s’allonger. Les responsables de la sécurité devraient superviser la cyber-résilience, la conformité réglementaire, les risques liés aux tiers, la continuité des activités, la gouvernance de l’IA, la réponse aux incidents et un paysage de menaces toujours plus complexe. Les conseils d’administration, les régulateurs, les clients et les investisseurs exigent simultanément une plus grande visibilité que jamais sur les cyber-risques.

La conclusion que beaucoup de gens tirent de cette expansion est que le rôle traditionnel du RSSI ne peut plus fonctionner. Si aucune personne ne peut maîtriser de manière réaliste tous les domaines relevant de la cybersécurité moderne, peut-être que le rôle lui-même est devenu obsolète.

Je crois que le contraire est vrai. Le RSSI moderne disparaît d’une version de lui-même et réapparaît comme quelque chose de plus grand. Il connaît la même évolution que le rôle de directeur financier au cours des deux dernières décennies.

Historiquement, les directeurs financiers étaient avant tout considérés comme des opérateurs financiers. Leurs responsabilités étaient centrées sur la comptabilité, le reporting, les contrôles, les audits et la budgétisation. À mesure que les entreprises sont devenues plus grandes, plus mondiales, plus réglementées et plus dépendantes de la technologie, ce modèle a changé. Le directeur financier est passé d’un spécialiste financier à un cadre stratégique chargé de façonner les décisions à l’échelle de l’entreprise. McKinsey a documenté ce changement, constatant que le nombre de fonctions relevant des directeurs financiers avait considérablement augmenté et que les chefs d’entreprise en étaient venus à les considérer comme des moteurs essentiels du changement au sein de l’entreprise, et non comme de simples gestionnaires du bilan.

Personne n’a examiné ce mandat élargi et n’a conclu que le rôle du directeur financier devenait inutile. Ils ont reconnu que la finance était devenue plus importante pour l’entreprise.

La même chose se produit en matière de cybersécurité. Pendant des années, la sécurité a été considérée comme une discipline technique opérant à la périphérie de l’organisation. Aujourd’hui, un cyber-incident important peut interrompre les opérations, perturber les revenus, déclencher un contrôle réglementaire, nuire à la confiance des clients et modifier les marchés. Le cyber-risque est devenu un risque commercial, et ce changement change fondamentalement la mission d’un RSSI. Les responsables de la sécurité siègent de plus en plus aux comités des risques d’entreprise aux côtés de leurs pairs, et les régulateurs accordent une attention bien plus grande à la manière dont la sécurité est intégrée dès le départ dans la conception des produits et des systèmes. Ces deux signes montrent que la sécurité est passée d’une fonction de back-office à la salle où les risques commerciaux sont décidés.

Les données reflètent à quel point le rôle a déjà changé. Selon le rapport RSSI 2026 de Splunk, presque tous les RSSI comptent désormais la gouvernance de l’IA et la gestion des risques parmi leurs principales responsabilités. Soixante-dix-huit pour cent signalent des préoccupations en matière de responsabilité personnelle liées à des incidents de sécurité, contre 56 % il y a à peine un an. Ce rôle comporte désormais une exposition juridique individuelle parallèlement à la responsabilité opérationnelle. C’est une description d’une fonction exécutive, point final.

Les responsables modernes de la sécurité sont désormais censés aider les conseils d’administration à comprendre les risques, à participer à la planification stratégique, à s’adapter aux obligations réglementaires, à superviser les programmes de résilience et à établir une gouvernance autour des technologies émergentes comme l’intelligence artificielle. Ces responsabilités s’étendent bien au-delà des opérations de sécurité traditionnelles, et le travail s’est développé considérablement plus rapidement que les structures organisationnelles qui le soutiennent.

Certaines entreprises ont réagi en constituant des équipes de direction en matière de sécurité plus grandes et plus spécialisées. La Secure Future Initiative de Microsoft en est l’exemple le plus marquant. La société a créé un Conseil de gouvernance de la cybersécurité dirigé par un RSSI mondial, avec plus d’une douzaine de RSSI adjoints nommés dans des domaines de sécurité majeurs, notamment l’ingénierie, l’IA, les services cloud, les jeux et les systèmes gouvernementaux. Il s’agit de l’une des transformations de sécurité les plus importantes du secteur, impliquant des milliers d’ingénieurs et une structure de gouvernance conçue pour coordonner la sécurité au sein d’une organisation véritablement tentaculaire.

Certains observateurs voient dans de telles structures la preuve que le modèle traditionnel du RSSI est en train de s’effondrer. Regardez de plus près et vous voyez le contraire. Microsoft a élargi l’organisation en soutenant le leadership en matière de sécurité plutôt que de la démanteler. La responsabilité centralisée reste la responsabilité d’un RSSI mondial tandis que l’exécution est répartie entre des dirigeants et des équipes spécialisés.

C’est exactement à cela que ressemblent les fonctions exécutives matures à grande échelle. Les grandes entreprises n’éliminent pas leurs directeurs financiers lorsque la finance devient plus complexe. Ils ajoutent des contrôleurs, des responsables de trésorerie, des organisations FP&A et des équipes de relations avec les investisseurs. La complexité n’élimine pas la responsabilité des dirigeants. Cela en approfondit le besoin.

Il existe une sécurité partagée à l’échelle de l’organisation : le SOC, la gestion des vulnérabilités et les autres services dont dépend l’ensemble de l’entreprise. Ensuite, il y a la sécurité des métiers, dirigée par des RSSI adjoints ou des unités commerciales dont le travail consiste à assurer la protection de leurs unités individuelles. Ces dirigeants intégrés intègrent les exigences aux services partagés et en assurent une surveillance indépendante, tout en restant suffisamment proches de leur entreprise pour comprendre ce dont elle a réellement besoin. Un exécutif central possède l’ensemble du tableau, avec des dirigeants spécialisés qui le portent dans tous les recoins de l’organisation.

Un point structurel en découle directement : le RSSI ne doit jamais rendre compte au CTO. La personne responsable de la sécurité ne devrait pas se placer sous la personne responsable de la technologie du bâtiment et de l’expédition, car ces deux mandats peuvent aller dans des directions différentes. La sécurité relève du COO, du CRO ou du CEO, où elle peut parler du risque de manière indépendante et être entendue.

L’IA accélère encore cette évolution. Les organisations déploient des systèmes autonomes capables de formuler des recommandations, de déclencher des workflows et d’agir à la vitesse d’une machine. Ce que l’IA ne peut pas faire, c’est s’approprier les décisions qui sous-tendent ces actions. Quelqu’un doit encore déterminer ce qui peut être délégué aux machines, établir des cadres de gouvernance, définir les risques acceptables et répondre de ces choix aux régulateurs, aux conseils d’administration et aux actionnaires. Dans la plupart des organisations, cette personne est le RSSI.

Le point de départ le plus pratique est un principe simple : chaque action de l’IA doit remonter à un humain responsable. Dans cette optique, nous ne déléguons pas du tout les décisions à l’IA. Nous faisons fonctionner les machines tout en gardant une personne responsable de ce qu’elle fait. Ce principe oblige la responsabilité à résider dans un endroit spécifique de l’organisation plutôt que de se dissoudre dans le système.

Cela vaut la peine d’être pris en compte : l’IA peut renforcer les arguments en faveur du leadership exécutif en matière de sécurité plutôt que de l’affaiblir. Pendant des années, les RSSI ont régi le comportement humain au sein des organisations. Désormais, ils régissent simultanément le comportement des humains et des machines, un mandat sans plafond évident.

Le secteur de la cybersécurité ne cesse de se demander si le rôle du RSSI peut survivre aux exigences qui lui sont imposées. La meilleure question est de savoir si les organisations adaptent leurs structures de leadership suffisamment rapidement pour soutenir la direction que prend déjà leur rôle.

Il est peu probable que l’avenir du leadership en matière de sécurité soit constitué d’un groupe dispersé de spécialistes opérant sans propriété claire. Il ressemblera davantage à d’autres fonctions exécutives matures, avec des dirigeants spécialisés opérant sous la direction d’un seul dirigeant responsable qui comprend le lien entre le risque et l’entreprise dans son ensemble. Alors que le cyber-risque devient indissociable du risque commercial, ce dirigeant devient indispensable.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

CSO et RSSISuite CCarrièresDirection informatique