Coming AI regulations

La protection en responsabilité civile D&O augmente pour les responsables de la sécurité, à moins que vous ne soyez un RSSI de niveau intermédiaire

Lucas Morel

Les petites entreprises sont moins susceptibles de protéger les RSSI de toute responsabilité personnelle en cas de failles de sécurité, « ce qui peut dissuader les professionnels hautement qualifiés d’accepter ces postes », explique un avocat au CSO.

Selon une étude du RSAC, les petites entreprises sont beaucoup moins susceptibles que les multinationales de protéger leurs RSSI de toute responsabilité personnelle en cas de failles de sécurité.

La grande majorité (88 %) des RSSI des entreprises Fortune 1000 sont légalement indemnisés par leur entreprise, mais ce chiffre tombe à seulement 53 % pour les RSSI des organisations de 500 employés ou plus, selon l’enquête du RSAC (anciennement RSA Conference).

L’assurance des administrateurs et dirigeants (D&O) est le véhicule d’indemnisation le plus courant pour les deux groupes, et 70 % des RSSI Fortune 1000 interrogés déclarent en être couverts.

« Même si la complexité et l’ampleur des opérations peuvent différer dans une entreprise de taille moyenne, les risques de cybersécurité (ransomware, violations de données, manquements à la conformité réglementaire) sont tout aussi graves », explique Rittenberry Culhane. « Sans indemnisation, les RSSI risquent leur responsabilité personnelle, ce qui peut dissuader les professionnels hautement qualifiés d’accepter ces rôles. »

En conséquence, les entreprises de taille moyenne s’exposent à un plus grand risque en ne proposant pas de protéger contre la responsabilité personnelle le plus haut responsable de la sécurité qu’elles emploient.

Les D&O pour les RSSI en hausse

Les RSSI peuvent disposer de plusieurs filets de sécurité, le premier étant constitué par les dispositions d’indemnisation d’une entreprise – des règles généralement intégrées dans les statuts et les statuts de l’entreprise.

« Le langage des dispositions d’indemnisation d’une entreprise doit être correctement formulé – généralement obtenu par l’avocat général et un vote du conseil d’administration – pour fournir une indemnisation au RSSI égale à celle de tout autre administrateur ou dirigeant d’une entreprise », explique John Peterson de World Insurance Associates, un fournisseur d’assurance responsabilité civile professionnelle.

Le deuxième filet de sécurité pour un RSSI est la police d’assurance responsabilité civile D&O souscrite par l’entreprise du RSSI par l’intermédiaire d’un courtier d’assurance. Même lorsqu’une entreprise dispose d’une assurance D&O, Peterson conseille aux RSSI de revoir ces polices pour s’assurer qu’elles sont couvertes en tant que « personne assurée ».

Selon le dernier rapport sur la rémunération des RSSI d’IANS Research + Artico Search, l’inclusion des RSSI dans les polices d’assurance D&O est en augmentation.

Plus de 50 % des RSSI aux États-Unis et au Canada ont reçu cette prestation d’assurance dans le cadre de leur rémunération, selon l’édition 2025 de l’étude. Ce chiffre est en hausse par rapport aux 40 % qui ont déclaré avoir bénéficié de cette protection dans l’édition de l’année dernière du rapport sur la rémunération des RSSI.

Un RSSI sur cinq a également déclaré à IANS Research qu’il avait accès à des conseils externes, généralement pour des enquêtes ou des audits.

Une question d’indemnisation

Mais Ryan Griffin, cyber-leader américain chez le courtier d’assurance McGill and Partners, souligne que la différence entre l’assurance D&O et un accord d’indemnisation directe est souvent mal comprise.

« L’outil le plus crucial pour la protection d’un RSSI est l’accord d’indemnisation avec son employeur », explique Griffin. « La politique D&O est la manière dont l’entreprise paie pour protéger ses dirigeants, mais l’accord d’indemnisation est ce qui garantit réellement légalement cette protection. »

Sans un accord d’indemnisation formel, les RSSI courent de grands risques, prévient Griffin.

Griffin ajoute : « Une mesure coercitive, même si elle est finalement rejetée, pourrait entraîner des sanctions qui les empêcheraient de servir en tant que dirigeant d’une entreprise publique pendant des années, ce qui limiterait sérieusement leurs perspectives d’emploi futures. »

Jeu de blâme

La responsabilité est également au cœur du problème, qui repose presque toujours sur les épaules de la personne perçue comme « responsable de la sécurité », selon Kenrick Bagnall, président et co-fondateur de RB-Cyber ​​Assurance.

« Qu’il s’agisse du RSSI d’une entreprise Fortune 500 ou de l’unique directeur informatique d’une entreprise manufacturière de 100 personnes, lorsque les choses tournent mal, quelqu’un doit en répondre », explique Bagnall, un ancien détective du service de police de Toronto.

La différence entre une multinationale et une entreprise de taille moyenne ne réside pas dans l’exposition, explique Bagnall ; ce sont les ressources.

Alors que les RSSI d’entreprise ont souvent accès à des équipes juridiques et à des conseillers en relations publiques en cas de crise pour les aider à se protéger, une entreprise de taille moyenne compte souvent une ou deux personnes, voire plus, portant plusieurs casquettes, comme la conformité, l’informatique et la sécurité, réunies en une seule.

Cela peut devenir un problème car « les régulateurs, les clients et même les tribunaux ne réduiront pas les attentes simplement parce que l’entreprise est plus petite », explique Bagnall.

« Sans protection juridique, les RSSI sont confrontés à des risques personnels et professionnels importants », a déclaré Bagnall. « On peut leur reprocher des défaillances systémiques échappant à leur contrôle, comme des systèmes existants dont le remplacement n’a jamais été budgétisé, ou des unités commerciales qui refusent d’adopter des contrôles de sécurité parce qu’ils sont « trop perturbateurs ».

L’affaire SolarWinds continue de jeter une ombre persistante

Le procès intenté par la SEC en 2023 contre le RSSI de SolarWinds, Timothy Brown, pour des allégations selon lesquelles il aurait induit les investisseurs en erreur et omis de signaler avec précision les mesures de cybersécurité du fournisseur est loin d’être un cas isolé. Même si le rejet définitif de ce procès très médiatisé a apaisé les craintes immédiates selon lesquelles de nombreux RSSI pourraient être tenus personnellement responsables d’incidents de sécurité, l’affaire est loin d’être résolue.

« Les responsables de la cybersécurité sont de plus en plus tenus responsables des violations et de leur gestion des incidents », déclare Rittenberry Culhane de CM Law. « Les organismes de réglementation, les actionnaires et les tribunaux désignent les RSSI dans des poursuites judiciaires, même lorsqu’ils ont agi de bonne foi. »

Les entreprises de taille moyenne ont tendance à disposer de ressources juridiques et de conformité plus limitées, ce qui rend l’assurance responsabilité civile encore plus importante en tant que filet de sécurité potentiel pour les professionnels de la sécurité employés par les entreprises de taille moyenne.

« Une assurance D&O doit toujours être souscrite, mais elle ne couvre pas toujours tous les risques », explique Rittenberry Culhane.

Rittenberry Culhane, un ancien avocat général devenu avocat dont le cabinet est spécialisé dans le conseil aux entreprises en matière de gestion des risques et d’assurance, a proposé aux RSSI une liste de contrôle des meilleures pratiques :

  • Confirmez la couverture RSSI dans le cadre de votre politique D&O
  • Examiner les limites et les exclusions de la police pour les réclamations liées à la cybersécurité
  • Envisagez des accords d’indemnisation supplémentaires pour les RSSI et les responsables de la sécurité
  • Aligner les dispositions d’indemnisation sur les politiques de réponse aux incidents et de divulgation

Pour en savoir plus, consultez « Naviguer en matière de responsabilité personnelle : publier des recommandations en matière de violation de données pour les RSSI ».

Les structures de gouvernance doivent être réorganisées

Le rôle du RSSI a évolué plus rapidement que les structures de gouvernance qui le protègent, selon Bagnall de RB-Cyber ​​Assurance.

« Nous demandons désormais aux responsables de la sécurité d’être à la fois stratège, technologue, intervenant en cas de crise et bouc émissaire », déclare Bagnall. « Jusqu’à ce que les organisations, en particulier celles de taille moyenne, le reconnaissent et mettent en place des protections juridiques et contractuelles en conséquence, nous continuerons de voir des dirigeants talentueux hésiter à assumer ces rôles, ce qui aura pour conséquence que les organisations de toutes tailles ne recevront pas les conseils appropriés en matière de technologie et de sécurité de l’information dont elles ont besoin.

« Le RSSI ne défend pas seulement le réseau : il défend la réputation de l’entreprise, sa confiance et son avenir », ajoute Bagnall. « Cette responsabilité mérite protection. »

Lois et règlementsGouvernementCSO et RSSIGestion des risquesSécuritéViolation de données

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway