L’augmentation du nombre de responsables de la confiance marque un passage de la défense des systèmes à la sauvegarde de la crédibilité. Comprendre ce que représente le CTrO pourrait permettre aux RSSI de trouver une nouvelle vocation.
Les RSSI pourraient bientôt se retrouver aux côtés d’un nouveau collègue, le responsable de la confiance, alors que de plus en plus d’organisations font de la confiance un facteur de différenciation commerciale. Avec les violations, les problèmes de sécurité des produits et l’incertitude concernant l’IA, la confiance a été mise à mal aux yeux des clients et prospects ces dernières années. Cela survient dans un contexte d’érosion plus large de la confiance, en particulier entre les entreprises et les chefs d’entreprise, selon le Baromètre de confiance 2025 d’Edelman.
Mais cela pourrait changer à mesure que les organisations créent un rôle phare qui détient et supervise la confiance. Pour être efficace, ce rôle doit être plus qu’une simple nouvelle image de la sécurité et montrer des résultats mesurables et des améliorations tangibles.
Pour les RSSI, des questions se posent sur la façon dont le rôle de Chief Trust Officer (CTrO) recoupe la sécurité – et pourrait-il représenter leur prochaine évolution de carrière ?
Qu’est-ce exactement qu’un directeur de la confiance ?
Le rôle du RSSI a émergé pour formaliser la responsabilité en matière de sécurité, d’abord au sein des entreprises de services financiers et de technologie avant de s’étendre à d’autres secteurs.
De même, le rôle de Chief Trust Officer est apparu il y a une dizaine d’années, dirigé par des sociétés de logiciels et de technologies B2B confrontées à une surveillance croissante quant à la sécurité de leurs produits et plates-formes, selon Forrester.
Au cours de la dernière décennie, les pressions autour de la confidentialité, de la sécurité, de la conformité, de la gestion des risques et maintenant de l’IA se sont intensifiées. En réponse, certaines organisations formalisent la confiance en désignant la propriété dans un seul rôle de direction.
Seize entreprises ont un directeur de la confiance, principalement des fournisseurs de logiciels et de technologies, dont Atlassian, Salesforce, NinjaOne et SAP, avec des mandats allant de six mois à cinq à six ans, selon le rapport de Forrester.
Chris Peake, directeur de la confiance de Gong, occupe ce poste depuis environ trois mois, après avoir été RSSI de Smartsheet et directeur de la confiance et de la sécurité des clients chez ServiceNow. Il voit le rôle évoluer depuis ses origines bancaires et financières à mesure qu’il mûrit.
« Je constate des différences subtiles entre les différents rôles en fonction des besoins de l’organisation », dit-il.
Forrester le décrit comme une façon de s’approprier le fait de rendre l’engagement de confiance de l’entreprise authentique et intentionnel.
Pour Peake, le rôle est centré sur la confidentialité, l’utilisation responsable des données et l’ouverture, en particulier en ce qui concerne la manière dont les modèles d’IA sont formés et protégés.
« Nous devons être transparents. Nous devons bien communiquer. Avec l’IA, par exemple, c’est ce que nous faisons avec ces données. Comment nous formons nos modèles. Comment elles sont protégées. Ainsi, la transparence et la communication autour de ces choses sont des piliers essentiels », dit-il.
RSSI et CTRO : un modèle de partenariat de travail ?
Alors que les clients, les partenaires et les régulateurs exigent plus d’ouverture et d’assurance, les responsables affirment que la réponse est de bâtir la confiance, et pas seulement la sécurité. La confiance est présentée comme un différenciateur pour les organisations qui cherchent à renforcer la confiance de leurs clients et à trouver un avantage concurrentiel. La confiance touche à la sécurité, à la confidentialité, à la conformité, à l’éthique, à l’assurance client et à la culture interne. Pour les gardiens de confiance, il s’agit d’une mission très vaste sans la définition évidente des autres rôles de la haute direction.
En règle générale, le RSSI continue de s’approprier les contrôles et la protection, tandis que le CTrO élargit ses attributions à la réputation, à l’éthique et à la confiance des clients. Lorsque la cybersécurité relève du CtrO, c’est un moyen d’échapper à l’informatique et aux priorités concurrentes avec le CIO. Ce partenariat repositionne la sécurité du « département du non » à celui d’un facilitateur commercial, note Forrester.
Vinay Patel, responsable de la confiance et de la sécurité chez Zendesk, convient que ce rôle aligne la confiance sur la stratégie commerciale. « Un RSSI protège les systèmes. Le responsable de la confiance protège en réalité la confiance. L’un protège l’entreprise et l’autre sa crédibilité », dit-il.
Alors que les responsabilités quotidiennes du RSSI incluent la vérification du SOC, l’examen des alertes, du GRC, la gestion d’autres opérations de sécurité et les rapports du conseil d’administration, le rôle de directeur de la confiance renforce la confiance des clients, explique Patel.
« Il s’agit véritablement d’intégrer cette optique de confiance dans l’équation de prise de décision et d’inciter les collègues et partenaires à penser de la même manière. »
Le double titre de Patel met autant l’accent sur la sécurité de la plate-forme que sur la gestion des données clients avec intégrité. « Il n’était pas seulement important de démontrer que nous faisons du bon travail en matière de protection de nos systèmes… mais également d’amplifier l’importance de gagner et de renouveler la confiance de nos clients chaque jour », dit-il.
Dans le modèle de Gong, l’informatique et la sécurité ont fusionné dans un Trust Office unifié, le RSSI relevant de Peake. Ses responsabilités s’étendent à la sécurité des produits, à la conformité, aux opérations de sécurité (telles que la réponse aux incidents) et à la direction d’une équipe de collègues de sécurité sur le terrain qui interagissent directement avec les clients.
Ce modèle de partenariat permet de traduire des assurances techniques complexes en confiance au niveau de l’entreprise et de rétablir rapidement la confiance lors d’incidents grâce à l’ouverture et à l’empathie.
Peake explique que son approche est collaborative et tournée vers l’extérieur, positionnant la fonction de confiance comme un pont entre les clients, les ventes et les équipes techniques. Il agit comme un « intermédiaire » entre les attentes des clients et les pratiques de sécurité et d’IA de l’entreprise. Il se concentre sur la création d’une plateforme sécurisée, stable et résiliente à laquelle les clients peuvent faire confiance, allant au-delà de la sécurité et de la conformité traditionnelles.
« Si vous faites confiance à une entreprise, vous y reviendrez. Il existe donc un lien évident entre l’habilitation commerciale et la confiance de vos clients », dit-il.
Peake estime que ce rôle va au-delà de la conformité et touche à l’émotion humaine de confiance, quelque chose qui se gagne et se maintient par des actions.
« Cela se construit grâce à la connexion avec les clients plutôt qu’à des mesures », dit-il.
Mais à quel point est-il risqué de détenir une confiance institutionnelle ? Peake reconnaît la pression et la visibilité de ce rôle, affirmant que le CTrO devient le « gardien de l’honnêteté » pendant les crises et doit agir avec honnêteté et empathie et travailler à rétablir la confiance. « Comme le dit le proverbe, vous gagnez la confiance en gouttelettes et vous la perdez en seaux. Eh bien, vous voulez commencer à la regagner tout de suite. »
Comment opérationnaliser la confiance et éviter les signaux de confiance vides de sens ?
Se pose également la question de savoir comment les organisations opérationnalisent la confiance – et peut-elle être mesurée ? Il n’existe aucune plateforme prête à l’emploi, les CTrO doivent donc créer leurs propres tableaux de bord combinant les indicateurs des clients et des employés pour suivre les tendances et identifier les premiers signes d’érosion de la confiance.
Les organisations ne disposent pas d’une pile technologique de confiance dédiée sur laquelle s’appuyer, mais ceux qui occupent ce rôle trouvent toujours des indicateurs utiles.
Peake prévient que les organisations doivent éviter de traiter le titre comme une tendance ou un battage médiatique : « la preuve en ressortira dans la façon dont nous nous comportons et agissons. Je m’abstiendrais d’essayer de mesurer la confiance elle-même et me concentrerais sur les indicateurs de confiance ou de méfiance en nous… qui indiqueront si nos clients estiment que nous sommes un de leurs partenaires dignes de confiance. »
Il utilise le sentiment des clients, la confiance dans la plateforme et la fidélisation comme signaux de confiance fiables. « Cela se manifestera par le retard de l’opinion des clients ou par la confiance qu’ils accordent à la plate-forme et par la question de savoir si les problèmes de sécurité nous empêchent d’attirer de nouveaux clients », dit-il.
Patel se concentre sur des processus robustes tels que la gouvernance responsable de l’IA et la validation avec des références externes telles que la certification ISO 42001 pour la confiance et la gouvernance de l’IA et travaille vers CSA STAR pour l’IA. «Ceux-ci donnent aux clients et aux parties prenantes une mesure standard pour évaluer dans quelle mesure une organisation dispose d’un programme de sécurité solide ou d’un programme solide de confiance et de gouvernance en matière d’IA.»
Forrester prévient également qu’adopter le titre sans réel changement risque de « faire confiance au théâtre ». Une véritable responsabilité, affirme-t-il, nécessite le soutien des dirigeants, des incitations alignées et une surveillance du conseil d’administration pour transformer les paroles en actions mesurables.
Dans certains cas, les organisations créent un responsable de la confiance à la suite d’un incident pour signaler aux clients et au marché au sens large qu’elles apprécient la confiance. Mais dans la précipitation pour prouver leur confiance, ils doivent faire plus que simplement ajouter un nouveau titre. Il existe des questions essentielles auxquelles les organisations doivent répondre, explique Peake. « Quel est notre besoin fondamental pour être une organisation digne de confiance ? Vous devez réfléchir à ce que cela signifie pour les clients et à la manière dont vous allez combler cet écart », dit-il.
Et le conseil d’administration ?
Toutes les institutions doivent s’efforcer de rétablir la confiance, car des niveaux de confiance plus élevés sont liés à de meilleurs résultats économiques et à un meilleur bien-être, note le rapport Edelman Trust. Toutes les organisations ont un rôle à jouer et celui-ci doit être dirigé par le haut.
Si la confiance doit être une valeur fondamentale de l’organisation, le rôle de responsable de la confiance doit avoir une visibilité et une responsabilité envers le conseil d’administration. « La confiance est une lentille, et cette lentille doit être réfléchie au niveau du conseil d’administration », déclare Peake. « Nous avons besoin qu’ils nous tiennent responsables du respect de nos valeurs », dit-il.
La plupart des CTrO relèvent directement du PDG, supervisant souvent les fonctions de sécurité, de confidentialité et de conformité, le RSSI relevant d’eux ou à leurs côtés, a découvert Forrester. Placer la confiance au niveau de la direction indique qu’il s’agit d’une question stratégique et pas seulement d’une préoccupation technologique.
Selon Patel, les conversations sur la confiance sont plus stratégiques et mieux alignées sur les priorités du conseil d’administration que les rapports de sécurité. Encadrer les discussions sous l’angle de la confiance aide les conseils d’administration à relier les initiatives de sécurité à la stratégie commerciale.
« Lorsque je communique avec le conseil d’administration, je parle de choses qui ont un impact sur la confiance des clients… et ces points aident le conseil d’administration à comprendre plus clairement que le nombre de vulnérabilités qui ont été corrigées ou d’autres faits techniques que les RSSI doivent trouver des moyens de traduire pour le conseil d’administration.
Le Chief Trust Officer est-il la prochaine étape pour les RSSI ?
De nombreux premiers CTrO étaient d’anciens RSSI, ce qui suggère une évolution de la sécurité et de la conformité vers la réputation et l’éthique, selon Forrester. Il s’appuie sur les fondations du RSSI, mais nécessite une concentration plus large sur l’empathie, la communication et la défense des clients, plutôt que sur la simple réduction des risques.
À mesure que les organisations se différencient grâce à une IA fiable et à une utilisation responsable des données, le CtrO pourrait devenir aussi courant que le RSSI. Peake estime que la confiance deviendra fondamentale dans les relations commerciales, d’autant plus que l’IA et la gouvernance des données dominent les préoccupations des clients. Peake appelle cela une « étape évolutive » pour les responsables de la sécurité, affirmant que ses années d’engagement client en ont fait une transition naturelle.
« J’ai passé beaucoup de temps avec les clients, comprenant leurs préoccupations et étant en quelque sorte un intermédiaire entre ce dont les clients ont besoin et comment intégrer la sécurité dans les produits qui répondent à leurs exigences.
Certains RSSI peuvent déjà agir de facto comme des responsables de la confiance, s’engageant auprès de parties prenantes externes et dirigeant des programmes de gestion des risques interfonctionnels sans titre officiel. Cependant, le titre ne doit pas simplement renommer le rôle du RSSI.
Patel souhaite que les RSSI considèrent le rôle de directeur de la confiance moins comme une étape de carrière que comme une opportunité d’avoir un impact plus large sur la stratégie de l’entreprise.
«C’est un changement de mentalité», dit-il. « Lorsque cela trouve un écho chez un RSSI existant, cela indique une vocation. »
