Les RSSI sont confrontés à une responsabilité personnelle et pénale croissante en cas de gestion et de divulgation inappropriées ou incomplètes des risques lors de cyberincidents. La SEC, le DOJ et les régulateurs internationaux ciblent les dirigeants qui omettent ou déforment sciemment les informations sur les cyberrisques.

Augmentation des attaques contre les vulnérabilités des appareils IoT et OT

Les cyberattaques sont de plus en plus motivées par des vulnérabilités logicielles intégrées aux appareils OT et IoT. Le rapport Verizon Data Breach Investigations Report 2025 a noté que 20 % des violations étaient basées sur la vulnérabilité, ce qui suit de près l’abus d’informations d’identification, représentant 22 % des violations. D’une année sur l’autre, les violations résultant de vulnérabilités logicielles ont augmenté de 34 %.

L’augmentation spectaculaire des cyberattaques basées sur la vulnérabilité des appareils a précipité l’augmentation des exigences de conformité réglementaire et des poursuites judiciaires.

Une surveillance réglementaire croissante

Les gouvernements et les organismes industriels du monde entier renforcent les mandats en matière de cybersécurité pour améliorer la responsabilité et la résilience dans l’ensemble de l’écosystème numérique. Les réglementations émergentes incluent le décret américain 14028 sur la cybersécurité aux États-Unis, le NIS2 et le Cyber ​​Resilience Act (CRA) dans l’UE ainsi que leurs pairs dans le monde. Les régulateurs imposent la documentation de la nomenclature des logiciels des appareils et la sensibilisation aux vulnérabilités, car ces éléments aident les entreprises à gérer de manière proactive les risques liés à leurs portefeuilles d’appareils.

Aujourd’hui, le fardeau de la réglementation incombe aux fabricants d’appareils ; cependant, les propriétaires de ces appareils sont également responsables en cas de violation.

De quoi les RSSI sont-ils tenus responsables :

• Incapacité de divulguer un inventaire précis des actifs concernés.
• Gouvernance inadéquate, y compris la gestion des risques liés aux tiers.
• Fournir des communications trompeuses ou incomplètes au conseil d’administration sur la position en matière de risque.
• Ne pas signaler les violations avec précision et rapidité.
• Certifier la conformité (SOX, ISO 27001) sans vérifier la réalité.

Les entreprises affinent leurs approches en matière de gouvernance, de conformité et de risque

Les entreprises modifient leurs politiques et leurs ressources pour répondre à l’évolution du paysage des menaces et des responsabilités. Un rapport Fastly réalisé auprès de 1 800 responsables informatiques montre que 93 % des organisations ont mis à jour leurs politiques pour répondre à la responsabilité des RSSI :

• 41 % impliquent plus profondément les RSSI dans les décisions stratégiques du conseil d’administration.
• 38 % apportent un soutien juridique accru aux équipes de sécurité.
• 38 % imposent un examen plus minutieux des informations fournies par les régulateurs en matière de sécurité.
• 21 % rappellent aux RSSI qu’ils « ne sont pas au-dessus des lois ».

Les entreprises s’efforcent également de fournir aux RSSI des outils techniques améliorés pour faire face aux risques de sécurité et de responsabilité associés. Les conseils d’administration et les équipes de direction font évoluer les capacités de leurs RSSI, passant d’une réponse rapide aux incidents à une gestion proactive des cyber-risques en réponse à l’accent réglementaire.

La nécessité d’un meilleur inventaire et d’une meilleure intelligence des actifs

Un élément central de la gestion proactive de la sécurité est la documentation complète des appareils IoT, y compris leurs surfaces d’attaque et leurs vulnérabilités logicielles. Les informations d’inventaire sont dispersées entre des silos organisationnels fragmentés et des partenaires tiers. Elles doivent être collectées manuellement, ce qui nécessite beaucoup de temps et de ressources humaines pour corréler et maintenir les informations nécessaires à la sécurisation et à la documentation des appareils IoT.

La solution SomosID

En tant qu’administrateur de confiance FCC, Somos conserve les informations d’identité de plus de 7 milliards de numéros de téléphone. Ces identifiants numériques contribuent à permettre des communications fiables au quotidien. De la même manière que Somos garantit depuis longtemps l’intégrité et la confiance dans la numérotation, Somos étend cette expertise à l’écosystème IoT avec SomosID for IoT. Le service d’intelligence des appareils SomosID corrèle et maintient les informations critiques pour les appareils IoT, notamment :

• Inventaire et identité
• Informations sur le logiciel, y compris SBOM et vulnérabilités
• Autres attributs d’atout, y compris les capacités de communication et les certifications

En associant la discipline de la gestion des identifiants numériques fiables à l’intelligence complète des appareils IoT, Somos aide les entreprises et les fournisseurs de services à établir une chaîne de confiance vérifiable dans les communications humaines et machines. L’ensemble de données qui en résulte facilite la sécurité proactive, la planification du portefeuille d’appareils, le support technique et les rapports de conformité. Il est destiné à être fourni non seulement aux entreprises propriétaires des appareils, mais également à leurs prestataires de services pour faciliter les opérations et le reporting.

Découvrez comment SomosID peut aider des organisations comme la vôtre à réduire votre responsabilité en matière de RSSI et à renforcer votre posture de conformité. Contactez-nous dès aujourd’hui pour planifier une démo ou rejoignez notre webinaire gratuit le 13 novembre de 14 h 00 à 14 h 30 HE pour en savoir plus.