Sécuriser l’entreprise nécessite des initiatives de grande envergure, sans perdre de vue les résultats. Voici les priorités actuelles des responsables de la sécurité informatique.
La liste des tâches à accomplir du chef de la sécurité Andrew Obadiaru pour l’année à venir sera familière aux RSSI du monde entier : promouvoir une architecture de confiance zéro dans l’organisation ; renforcer les contrôles d’identité et d’accès dans le cadre de cette initiative ; accroître la surveillance des risques liés aux tiers ; et étendre l’utilisation de l’intelligence artificielle dans les opérations de sécurité.
« Rien n’est particulièrement nouveau – peut-être que l’IA est plus récente et que le rythme auquel tout cela se déroule ne cesse de s’accélérer – mais nous devons faire mieux dans tout cela en 2025 », déclare Obadiaru, RSSI chez Cobalt, qui propose des tests d’intrusion en tant que service. .
Les priorités d’Obadiaru reflètent celles répertoriées par d’autres RSSI dans plusieurs rapports, notamment la récente étude sur les priorités de sécurité de Foundry, qui montre que les responsables de la sécurité redoublent d’efforts sur les principes fondamentaux de la sécurité tout en y intégrant de nouveaux éléments, à savoir l’IA.
Malgré des similitudes globales dans les objectifs des responsables de la sécurité, les RSSI établissent également des priorités en fonction des besoins uniques de leur organisation, en fonction de la maturité de leur posture de sécurité, ainsi que de leur position sur le marché, de leur secteur d’activité et d’autres facteurs de différenciation.
Les RSSI de pointe mettent également en œuvre des stratégies de responsabilisation supplémentaires pour garantir que leurs équipes connaissent les priorités de sécurité de l’organisation et que les autres dirigeants et chefs d’entreprise font leur part pour contribuer à sécuriser l’entreprise.
La responsabilité est une priorité essentielle si les RSSI veulent terminer 2025 dans une position plus forte qu’au début de l’année, déclare David Chaddock, directeur général de la cybersécurité chez la société de services numériques West Monroe.
« Il est difficile pour les RSSI de faire toutes ces choses qui figurent sur leur liste de priorités s’ils ne disposent pas des personnes et des talents nécessaires pour (les mettre en œuvre et les entretenir) », dit-il. «Il s’agit donc de définir ces priorités en utilisant un cadre de gouvernance qui oblige tout le monde à mettre sa part du gâteau pour s’assurer que ces choses soient accomplies.»
Les 12 principales priorités de sécurité aujourd’hui
La récente étude sur les priorités de sécurité de Foundry a interrogé 870 décideurs en matière de sécurité informatique et a révélé que les principales directives actuelles sont dominées par des thèmes de longue date.
En tête de liste des priorités des RSSI se trouve le renforcement de la posture de sécurité de leur organisation afin de mieux protéger les données confidentielles et sensibles, 40 % d’entre eux le désignant comme une priorité absolue pour 2025.
Le top 5 est complété par : la mise à niveau de la sécurité informatique et des données pour renforcer la résilience ; sécuriser les données et les systèmes cloud ; accroître la sensibilisation à la sécurité grâce à la formation des utilisateurs ; et simplifier l’infrastructure de sécurité informatique.

D’autres éléments parmi les 12 principales priorités sont des objectifs pérennes pour de nombreux services de sécurité, notamment la nécessité d’améliorer les contrôles d’identité et d’accès (26 %), d’améliorer les renseignements sur les menaces (25 %), de réduire les dépenses de sécurité (20 %), de rationaliser les efforts de conformité et de confidentialité (19 %) et pour mieux exploiter les données à des fins de sécurité (19 %).
Par rapport à l’année précédente, deux grands acteurs ont accéléré l’utilisation de l’IA pour améliorer l’efficacité de la sécurité (25 %), passant au huitième rang global contre le 12e en 2023, et pour améliorer la gestion des risques liés aux tiers (23 %) — deux problèmes de sécurité qui ont a fait la une des journaux ces derniers temps.
Atténuation et gestion des risques
Le travail effectué au sein du département de sécurité d’Obadiaru à Cobalt reflète la plupart de ces priorités actuelles.
En tant que RSSI d’une entreprise qui, comme la plupart des organisations aujourd’hui, compte des travailleurs à distance, Obadiaru a donné la priorité à la promotion d’un environnement zéro confiance. Il considère le principe de confiance zéro comme un élément essentiel pour atténuer les risques de sécurité dans une entreprise dont les employés, les partenaires et les clients interagissent avec l’entreprise n’importe où et à tout moment via les canaux numériques.
Cette priorité oblige l’équipe de sécurité d’Obadiaru à reconfigurer des éléments de la pile informatique, à peaufiner l’architecture technologique et à mettre en œuvre davantage de contrôles d’authentification et d’accès.
« L’objectif est d’être dans un endroit très stable et sans confiance d’ici fin 2025 », ajoute Obadiaru.
Il souhaite également mettre en œuvre davantage de capacités d’IA pour améliorer la détection et la surveillance des menaces, ainsi que davantage d’automatisation au sein de la fonction de sécurité. À cette fin, Obadiaru passe à un système de gestion des informations et des événements de sécurité (SIEM) alimenté par l’IA.
Et il prévoit d’utiliser l’IA pour surveiller les risques liés aux fournisseurs. Il affirme que cela complétera l’évaluation de sécurité que subissent les fournisseurs lors de leur intégration et renforcera sa pratique de gestion des risques liés aux tiers.
« Nous voulons pouvoir surveiller et valider leurs positions en matière de sécurité et savoir si leur environnement change d’une manière qui modifie le risque », explique-t-il, ajoutant qu’il utilise des cartes de pointage de sécurité et des analyses comparatives dans le cadre de ce processus. « Nous l’utilisons maintenant, mais pas autant que nous le devrions. Nous souhaitons développer un processus permettant de récupérer les informations fournies et de les utiliser tout au long du contrat du fournisseur.
De plus, Obadiaru donne la priorité aux travaux liés à la conformité réglementaire, travaux qui incluent le renouvellement de la certification ISO 27000-01 de son entreprise cet été et la garantie que son organisation de sécurité suit le rythme de toutes les nouvelles exigences réglementaires et de certification.
L’épée à double tranchant de l’IA
Adam Currie, vice-président mondial et RSSI de HCLSoftware, cherche également à accroître l’utilisation de l’IA par son organisation pour améliorer l’efficacité de la sécurité.
Dans le cadre de cet effort, Currie et son équipe se concentrent sur une meilleure compréhension de la manière dont les acteurs de la menace eux-mêmes utilisent l’IA et étudient comment l’utilisation interne de l’IA par HCLSoftware pourrait ajouter des risques.
Il s’agit de « comment exploiter l’IA pour nous protéger de l’IA », explique Currie, soulignant la nécessité pour les RSSI de former leurs équipes à relever ce défi, en particulier en sécurisant les données et les modèles dont dépendent les initiatives d’IA de l’entreprise.
De même, Ken Knapton, qui fournit des services de RSSI et de CIO par l’intermédiaire de sa société de services informatiques Rocky Mountain CIO, met en avant l’IA comme une priorité clé du RSSI.
Knapton considère également la technologie comme une arme à double tranchant : d’une part, elle aide les équipes de sécurité à « réduire les frictions et à favoriser les améliorations », mais elle « entraîne également de nombreux problèmes de sécurité ».
Pour lutter contre l’IA, Knapton élabore des politiques de sécurité pour l’utilisation de l’IA et des données dont elle a besoin et met en place des garde-fous, des procédures et des contrôles pour les faire respecter.
« Les RSSI doivent être très actifs en 2025 pour définir comment et quand les organisations doivent tirer parti de l’IA tout en protégeant la propriété intellectuelle de l’entreprise et les données des clients, en veillant à protéger toutes nos informations non publiques protégées », déclare Knapton. « Nous devons tous être prudents quant aux données que nous mettons dans les systèmes d’IA. »
Sécurité du cloud, conformité et bien plus encore
Brennan P. Baybeck, vice-président senior et RSSI pour les services de réussite client chez Oracle et membre du conseil d’administration de l’association de gouvernance informatique ISACA, cherche à utiliser les fonctionnalités cloud natives pour garantir que « les charges de travail sont aussi sécurisées que possible » – une décision que Baybeck dit qu’il « réduira l’infrastructure de sécurité qui doit être gérée ».
« Nous souhaitons utiliser autant de fonctionnalités natives que possible, car cela réduit les coûts, simplifie l’infrastructure de sécurité et réduit les frais généraux », ajoute-t-il.
Une autre priorité de Baybeck est d’améliorer les contrôles d’identité et d’accès – un objectif qui comprend l’amélioration de la gouvernance des accès, le passage à l’authentification sans mot de passe et le renforcement de la sécurité des API.
Comme de nombreux RSSI, Currie de HCLSoftware accorde également la priorité à la conformité. « Nous devons respecter des exigences réglementaires strictes et rapides, ce qui fait donc partie de nos principales priorités », dit-il, soulignant que la conformité est « un catalyseur commercial pour nous ».
Et tout cela doit être entrepris en gardant un œil attentif sur le budget, dit Currie.
« L’efficacité opérationnelle et la rentabilité sont pour nous des priorités élevées », déclare-t-il.
L’influence de la maturité en matière de sécurité sur les priorités
Même avec des objectifs généraux similaires, la manière dont les RSSI mettent en œuvre leur programme de sécurité variera en fonction de plusieurs facteurs, explique Steve Ross, directeur de la cybersécurité pour les Amériques chez S-RM, un cabinet mondial de conseil en intelligence d’affaires et en cybersécurité.
Ross affirme que le niveau de maturité en matière de sécurité d’une organisation dicte généralement les priorités et le plan d’exécution du RSSI.
Par exemple, ceux qui ont un faible niveau de maturité en matière de sécurité se concentrent généralement sur le renforcement de la protection des données confidentielles et sensibles, explique Ross, tout en mettant également à niveau leurs systèmes pour renforcer la résilience de l’entreprise. Renforcer la sensibilisation à la sécurité grâce à la formation des utilisateurs finaux, améliorer les contrôles d’identité et d’accès et transférer les responsabilités aux MSSP sont d’autres priorités de base typiques – tout cela doit être fait tout en réduisant les dépenses.
Les organisations ayant une sensibilisation moyenne à la sécurité sont plus susceptibles de se concentrer sur la rationalisation des efforts de conformité et de confidentialité, la simplification de l’infrastructure de sécurité informatique, l’amélioration de la gestion des risques tiers et la réduction du temps de réponse aux incidents, en plus de réduire les dépenses, d’améliorer le contrôle d’accès et d’explorer MSSP. options, dit Ross.
Pendant ce temps, les RSSI dirigeant des organisations à haute maturité se concentrent généralement sur l’amélioration de leur compréhension des menaces externes et sur l’accélération de l’utilisation de l’IA pour améliorer l’efficacité de la sécurité, explique Ross. Ils cherchent également à mieux exploiter les données et les analyses à des fins de sécurité, et assument la responsabilité des risques présentés à la fois par la technologie opérationnelle et les systèmes informatiques. Dans le même temps, ils continuent de se concentrer sur l’amélioration des fondamentaux, comme l’amélioration de la gestion des risques liés aux tiers.
Certes, ajoute Ross, certaines priorités – comme garantir la capacité d’identifier une attaque et de raccourcir les délais de réponse – sont universelles. « Ce sont des priorités permanentes, car elles sont d’une importance cruciale pour l’entreprise et la poursuite des opérations », dit-il.
Attribuer des responsabilités
Il existe cependant une tendance émergente parmi les principaux RSSI qui cherchent à mettre en œuvre leur longue liste de priorités pérennes, explique Chaddock de West Monroe.
Les RSSI les plus efficaces reconnaissent qu’ils ont besoin de coopération, de coordination et de respect des règles de sécurité de la part de tous, dit-il. Ils ont donc mis en place des cadres de gouvernance et des accords de niveau de performance qui imposent la responsabilité aux dirigeants qui supervisent les personnes et le travail liés à chaque objectif de sécurité spécifique.
C’est ainsi qu’ils parviendront à réaliser leurs priorités année après année, dit-il.
« Ce ne sont pas tous les RSSI, mais les principaux RSSI, qui investissent davantage dans les autres équipes, non pas pour s’en laver les mains, mais pour mettre la responsabilité à sa place », explique Chaddock. « C’est le seul moyen véritablement durable de permettre à un RSSI de sécuriser les éléments dont il est responsable. »