Les RSSI d’aujourd’hui souhaitent moins de lutte contre les incendies et plus d’impact, en utilisant l’IA pour éliminer les tâches fastidieuses, fédérer les équipes et recentrer la sécurité sur les personnes et la valeur de l’entreprise.
Demandez à n’importe quel responsable de la sécurité de l’information (RSSI) ce qui l’empêche de dormir la nuit et vous obtiendrez probablement une liste familière de menaces persistantes : ransomwares, acteurs étatiques dotés de l’IA et exploitation sauvage des vulnérabilités cachées dans une empreinte numérique en constante expansion. Depuis des années, ce rôle est défini par un état de vigilance constante, une posture réactive face à un siège interminable.
Dans presque toutes les conversations que j’ai maintenant avec les RSSI, je leur demande ce qu’ils feraient s’ils pouvaient récupérer 25 % de leur temps. Ce que j’entends, ce ne sont pas des souhaits de vacances plus tropicales. Au lieu de cela, les réponses forment une nouvelle liste de choses à faire axées sur l’innovation et la transformation.
Dynamisés par la puissance et le potentiel de l’IA, les RSSI créent des listes qui dressent le portrait d’une nouvelle normalité en matière de sécurité, proactive, profondément centrée sur l’humain et autonome. Il ne s’agit pas d’ajouter une autre case clignotante à la pile de sécurité ; il s’agit d’une feuille de route pratique – et parfois profonde – pour repenser la fonction même de la sécurité. Il s’agit de changer fondamentalement le paradigme de la manière dont la sécurité crée de la valeur, en passant d’un centre de coûts à un centre d’innovation qui permet réellement à l’entreprise de se développer.
Sur la base de mes conversations, voici les trois principaux thèmes qui caractérisent la nouvelle liste collective innovante du RSSI.
De la dette tactique à la prospective stratégique
Avant qu’un RSSI puisse se concentrer sur l’horizon, il doit d’abord solidifier le sol sous ses pieds. Le premier thème sur la liste de chaque RSSI est le désir de construire une base d’excellence qui permet une stratégie véritablement proactive. Cela commence par éliminer la dette tactique qui prend tant de temps. Les dirigeants sont impatients de s’attaquer enfin au problème du ménage, en bloquant les 10 % de projets restant à 90 % achevés.
En matière de sécurité, ces derniers 10 % sont loin d’être négligeables. Il s’agit de systèmes non corrigés, d’actifs cloud mal configurés ou négligés et d’autres portes ouvertes que les attaquants pourraient franchir. Ces projets inachevés représentent non seulement une faille de sécurité persistante, mais également un gaspillage important de budget et de ressources que les RSSI cherchent désespérément à récupérer.
Ce travail fondateur s’étend à l’ensemble de l’écosystème. Les dirigeants veulent avoir le temps d’analyser méthodiquement toutes les évaluations des fournisseurs. À l’ère des API interconnectées et des dépendances tierces, la défense d’un RSSI est aussi solide que celle de son fournisseur le plus faible. Ils réfléchissent constamment au prochain scénario Log4j et savent que sans une bonne gestion des risques liés à la chaîne d’approvisionnement, toute leur stratégie repose sur un château de cartes.
Enfin, nettoyer les ponts signifie définir chaque dernier plan d’action et jalon (POAM) de leurs audits. Cela va au-delà de la simple vérification de cases et vise à démontrer l’intégrité institutionnelle. Cela prouve au conseil d’administration et aux régulateurs que la sécurité est un processus mature, responsable et continu, et pas seulement un jeu perpétuel de coups de taupe joué à la suite d’un mauvais rapport.
En déblayant les ponts et en comblant les lacunes existantes, ils peuvent se concentrer sur une vision plus large : une sécurité préventive qui stoppe les attaques avant qu’elles ne se produisent. Cette excellence fondamentale leur donne la crédibilité et l’espace mental nécessaires pour consacrer un temps crucial au calcul du risque ; par exemple, analyser si des capacités de détection plus rapides leur permettent d’ajuster ou de rappeler des contrôles préventifs spécifiques.
Cela permet également une communication stratégique plus efficace avec le conseil d’administration, formulée dans le langage de l’acceptation commerciale et de la tolérance au risque.
Bâtir une défense unifiée et intégrée
Le deuxième thème majeur de la liste est de briser les silos qui affligent perpétuellement les organisations de sécurité. Les groupes de sécurité des applications (AppSec), de sécurité du cloud (CloudSec) et de gouvernance, risque et conformité (GRC) travaillent tous à partir de feuilles de calcul et d’outils différents et souvent avec des objectifs différents. Ce modèle est inefficace, coûteux et laisse d’énormes lacunes que les attaquants peuvent exploiter.
Les RSSI visent à développer des processus et des solutions innovants qui intègrent des équipes disparates. Comme me l’a décrit avec éloquence un dirigeant, l’objectif ultime est un « beau réseau d’automatisations ». Par exemple, cela signifie automatiser les preuves de contrôle dans tous les outils de sécurité afin que lorsqu’un auditeur demande une preuve de conformité, elle soit générée en quelques secondes, et non au cours d’un exercice d’incendie de trois semaines qui détourne 10 analystes de leurs principales responsabilités.
Il s’agit d’une vision qui permet à toutes les fonctions de sécurité de fonctionner ensemble de manière transparente, avec l’IA corrélant les données de toutes les sources pour fournir une image unique et unifiée du risque.
Cette intégration s’étend au-delà de l’équipe de sécurité elle-même. L’une des priorités clés consiste à intégrer « l’harmonie de la sécurité dans le cadre juridique » du point de vue de la confidentialité et à intégrer profondément la conformité dans l’ingénierie de sécurité. Dans un monde de RGPD, de CCPA et d’une mosaïque d’autres réglementations, la confidentialité n’est plus seulement une préoccupation juridique : c’est un défi majeur en matière de sécurité et d’ingénierie. Les RSSI souhaitent s’associer à leurs conseillers juridiques généraux pour intégrer la confidentialité dès la conception dans le cycle de vie du développement, plutôt que de simplement réagir aux violations de données ou aux demandes de confidentialité.
Cette vision est également pragmatique. Les RSSI en ont assez des outils de stockage coûteux et complexes que leurs équipes sont trop occupées pour déployer correctement. Leur liste comprend du temps pour résoudre des problèmes stratégiques : creuser dans leurs plates-formes existantes pour trouver des moyens créatifs d’améliorer leur jeu, plutôt que de simplement rechercher la prochaine solution miracle. Il s’agit d’ingénierie créative pour créer un environnement qui, comme me l’a dit un RSSI, « fonctionne tout simplement ».
La sécurité en tant que catalyseur d’entreprise dirigé par l’humain
Enfin, la bucket list du RSSI est profondément humaine. Cela commence par un profond changement de mentalité, passant du statut de gardien à celui de partenaire. Leur objectif ultime est de faciliter l’activité commerciale grâce à une gestion efficace des risques, en évitant aux dirigeants d’être entraînés dans des tâches opérationnelles et en leur permettant de fonctionner comme de véritables pairs de la C-suite. Cela nécessite d’investir du temps dans la compréhension de l’entreprise en s’asseyant avec les chefs de produit, en participant aux appels commerciaux et en apprenant ce qui génère des revenus.
Même si l’IA peut automatiser les tâches, elle ne peut pas instaurer la confiance. Les RSSI sont déterminés à consacrer du temps à l’engagement humain – en établissant des relations avec les partenaires, en encadrant les associés et en collaborant avec leurs collègues dirigeants. Il s’agit du travail humain irremplaçable qui crée le capital politique et l’alignement interfonctionnel nécessaires pour conduire un véritable changement.
Cette vision centrée sur l’humain est également la clé pour résoudre le défi le plus persistant de la sécurité : le manque de talents. La liste de choses à faire est remplie d’un désir passionné d’investir dans les gens. En interne, cela signifie redoubler d’efforts en matière de talents capables de croître et d’innover. Les RSSI souhaitent fournir aux membres de leur équipe le temps et le budget nécessaires pour obtenir les crédits de formation souhaités et l’espace pour une véritable innovation. Ce n’est pas seulement un accessoire agréable à avoir ; c’est une stratégie de rétention essentielle. C’est ainsi qu’ils empêchent leurs principaux analystes de s’épuiser à cause de la fatigue des alertes et leur donnent les moyens de résoudre les problèmes les plus uniques et les plus difficiles de l’entreprise.
En externe, cette passion s’étend jusqu’à redonner à la communauté, à s’engager auprès des collèges et lycées pour former la prochaine génération de défenseurs et à résoudre le problème du vivier de talents à la racine.
En favorisant un environnement d’apprentissage et d’innovation, les RSSI permettent à leurs collaborateurs d’atteindre le dernier élément – et peut-être le plus important – de leur liste : le moment de briser et de réinventer les processus de sécurité inefficaces qu’ils ont tous observés et avec lesquels ils ont été contraints de vivre tout au long de leur carrière.
L’avenir est dirigé par l’humain et alimenté par l’IA
Pris ensemble, ces thèmes de la liste de priorités dressent un tableau clair de l’avenir du leadership en matière de sécurité. C’est un avenir dans lequel les RSSI ne sont plus seulement les principaux défenseurs, mais aussi des partenaires commerciaux stratégiques qui cultivent la résilience et favorisent l’innovation. Réaliser cette vision signifie passer du suivi des alertes à l’anticipation des menaces, donner aux professionnels de la sécurité les moyens de faire leur travail le plus significatif et tirer parti de l’IA non pas pour remplacer l’expertise humaine, mais pour l’amplifier.
L’objectif est de construire une fonction de sécurité aussi intelligente, adaptative et créative que les humains qui la composent. C’est l’avenir vers lequel nous devrions tous lutter.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
