La responsabilité personnelle aigrit 70 % des RSSI sur leur rôle

Lucas Morel

La responsabilité par rapport à l’autorité étant un problème clé pour les RSSI, de nombreux responsables de la sécurité expriment leur hésitation à occuper des postes de RSSI, tandis que les spécialistes de la sécurité suggèrent des moyens de les empêcher de tomber.

Alors que la responsabilité juridique se renforce pour ceux qui sont chargés de maintenir la cybersécurité de l’entreprise, les responsables de la sécurité semblent de plus en plus frustrés par leur rôle, envisagent la sortie et hésitent à poursuivre des missions de RSSI à l’avenir.

Plus des deux tiers (70 %) des RSSI récemment interrogés ont déclaré que « les histoires de RSSI tenus personnellement responsables d’incidents de cybersécurité ont affecté négativement leur opinion de leur rôle », selon une enquête menée par BlackFog, fournisseur de prévention contre les ransomwares.

Jusqu’à présent, seule une poignée de sanctions contre des RSSI ont été largement médiatisées, notamment des cas impliquant Uber et SolarWinds. Mais les rapports faisant état de frustration parmi les RSSI de ne pas être autorisés à véritablement gérer les décisions en matière de cybersécurité sont assez fréquents – et ne devraient qu’augmenter.

La frustration des responsables de la sécurité ne concerne pas uniquement les nouvelles exigences telles que les règles de divulgation des violations de la SEC, qui peuvent placer les RSSI dans une impasse. Il s’agit également de savoir comment ces exigences pourraient jouer contre les RSSI qui ont été rejetés à plusieurs reprises sur les mesures visant à protéger l’entreprise. Si l’entreprise ne fait pas ce que le RSSI dit devoir faire, pourquoi le RSSI devrait-il en assumer la responsabilité ?

Les spécialistes de la sécurité conseillent à ces dirigeants de négocier des protections supplémentaires, notamment en leur donnant le rôle de dirigeant d’entreprise, en garantissant le paiement des polices d’assurance par l’entreprise et en leur accordant des clauses de sortie substantielles en cas de licenciement.

Pourtant, les inquiétudes grandissent au sein de la communauté des RSSI sur la question de la responsabilité par rapport à l’autorité.

Selon l’enquête BlackFog, alors que 41 % des personnes interrogées ont déclaré que « la tendance des responsables de la cybersécurité à faire face à une surveillance accrue et au potentiel de responsabilité personnelle a amené le conseil d’administration à prendre la cybersécurité plus au sérieux », « seulement 10 % de tous les répondants ont déclaré que cela a entraîné de l’argent supplémentaire consacré à la cybersécurité », ont constaté les analystes de BlackFog.

« Il s’agit d’une fiscalité avec une représentation limitée, où les RSSI sont tenus responsables d’une série de contrôles de sécurité, mais les décisions sont en fait prises par un comité », a déclaré Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group. et ancien RSSI du Globe and Mail. « On leur dit qu’ils sont en charge de la cybersécurité, mais la réalité est autre. Ils ont des responsabilités sans pouvoir réel. Ils exercent une influence sans responsabilité directe.

Exode des responsables de la sécurité ?

Jeff Pollard, vice-président et analyste principal chez Forrester, constate déjà des signes de retrait des meilleurs talents du RSSI.

« Le rôle du RSSI était déjà ingrat avant ces changements. Et il existe de nombreux fournisseurs qui se feront un plaisir d’ajouter un ancien RSSI opérationnel à leurs équipes en tant qu’évangéliste, leader d’opinion ou même chef de secteur. Et ces emplois sont souvent mieux rémunérés qu’un rôle traditionnel de RSSI », a déclaré Pollard. « Avec plus d’avantages et beaucoup moins d’inconvénients, le passage au fournisseur est une décision facile pour la plupart des RSSI. »

Andy Lunsford, PDG du fournisseur de cybersécurité BreachRx, s’attend à ce que le nombre de responsables de la sécurité expérimentés diminue à moins que les conseils d’administration ne commencent à offrir des protections significatives aux RSSI – ou ne leur donnent la pleine autorité pour prendre et appliquer des décisions en matière de sécurité.

« Les PDG vont être sous le feu des critiques de la SEC et de différents régulateurs. Et le RSSI ne tiendra pas le sac éternellement », a déclaré M. Lunsford. « Il y a encore un manque de RSSI expérimentés et talentueux. »

Lunsford voit également un problème plus immédiat lié au décalage entre les responsabilités et l’autorité du RSSI.

« Les enjeux en matière de responsabilité personnelle obligent les RSSI à être plus réfléchis et plus mesurés dans leur prise de décision. De nombreux RSSI nous ont dit qu’ils documentaient plus intentionnellement leurs propres prises de décision et celles des hauts dirigeants lorsqu’il s’agissait de prendre des décisions basées sur les risques », a déclaré Lunsford. « En apparence, cela peut sembler tout à fait positif, mais cela a pour effet de ralentir la prise de décision et d’alourdir la charge administrative lorsqu’elle est effectuée manuellement sans technologie qui enregistre automatiquement leur travail et leur prise de décision. »

Négocier des protections

En fin de compte, la question de savoir si les PDG offrent des protections aux RSSI peut être un facteur de la dynamique du marché des talents. Entre-temps, Jim Routh, leader chevronné de la sécurité, qui a occupé des postes de RSSI chez Mass Mutual, CVS, Aetna, KPMG, American Express et JP Morgan Chase, conseille aux RSSI actuels et potentiels de faire pression en faveur de protections contractuelles clés.

« La séparation doit être déclenchée par tout changement dans la structure de reporting », a déclaré Routh, qui occupe aujourd’hui le poste de directeur de la confiance chez le fournisseur de sécurité Saviynt. Les RSSI « ont besoin de protection ».

D’autres éléments clés, a déclaré Routh, sont les protections d’assurance et la garantie que l’entreprise paie tous les honoraires nécessaires auprès d’un avocat indépendant – un avocat qui n’est pas redevable aux intérêts de l’entreprise. Les contrats du RSSI devraient également prévoir une indemnisation complète, ce qui signifie que l’entreprise paiera tout jugement, pénalité, amende ou compensation directement liée aux fonctions officielles du RSSI, a déclaré Routh.

Par exemple, la compagnie d’assurance Crum & Forster a déployé en novembre une assurance responsabilité professionnelle explicitement conçue pour les RSSI.