Les responsables de la sécurité ajoutent de plus en plus de responsabilités à forte valeur ajoutée, élargissent leurs compétences, acquièrent une meilleure compréhension de leur activité et deviennent des leaders plus accomplis.
C’est un refrain familier : la cybersécurité étant devenue une priorité essentielle de l’entreprise, il ne s’agit plus d’une opération cloisonnée et les responsabilités des RSSI se sont accrues, leur donnant une plus grande importance au sein de l’organisation.
En outre, le rapport note que 92 % des responsables de la sécurité interrogés s’engagent davantage auprès du conseil d’administration, contre 85 % en 2023. De même, un récent rapport de Deloitte révèle que les cyber-leaders ont une visibilité accrue en matière de leadership : 41 % des personnes interrogées ont déclaré que leur conseil d’administration s’attaque à la cybersécurité. -des questions liées au moins une fois par mois, tandis que 30 % se réunissent chaque semaine.
« L’influence du RSSI s’accroît au sein d’une direction de plus en plus avertie en matière de cybersécurité : près d’un tiers des personnes interrogées ont noté l’implication du RSSI dans les conversations stratégiques sur l’investissement technologique », indique le rapport de Deloitte. « La moitié des personnes interrogées ont toute confiance dans la capacité des dirigeants et du conseil d’administration à gérer de manière adéquate les problèmes de cybersécurité. »
Le RSSI est plus central dans l’entreprise
Larry Jarvis, RSSI d’Iron Mountain, affirme que son rôle s’est considérablement élargi ces dernières années, reflétant la complexité croissante du paysage de la sécurité actuel, et qu’il couvre désormais plusieurs domaines interconnectés, notamment la gestion des risques, la résilience des entreprises et la conformité. La cybersécurité a dépassé les préoccupations techniques informatiques pour devenir une priorité commerciale essentielle, dit-il.
«Mes responsabilités englobent désormais non seulement la protection de nos actifs numériques, mais également l’alignement des stratégies de sécurité sur les objectifs commerciaux plus larges», déclare Jarvis. « Ce changement est motivé par la sophistication croissante des cybermenaces, les exigences réglementaires et le besoin crucial de protéger la confiance des clients dans un monde axé sur les données. » De plus, « l’adoption rapide de l’IA générative présente également de nouveaux défis en matière de sécurité », dit-il.

Daniel Schatz, RSSI de Qiagen, un fournisseur de solutions de tests moléculaires basé aux Pays-Bas, partage ce point de vue. «Mon rôle et les tâches dans lesquelles je suis impliqué se sont élargis au fil du temps par rapport à ce que l’on considère habituellement comme une sécurité informatique à l’ancienne», dit-il. « Récemment, j’ai travaillé pour trouver la bonne configuration pour construire le programme de continuité des activités de l’entreprise,… mettre en place l’équipe de gestion de crise de l’organisation et (également) devenir responsable de la gestion des risques d’entreprise. »
Même si Schatz ne croit pas que l’équipe de sécurité opérait auparavant en silo, il dit que c’était peut-être la perception. Il y a cinq ans, la sécurité faisait partie de l’organisation informatique et était étroitement intégrée aux processus et projets techniques. Mais cela a entraîné ses propres limites, comme la perception selon laquelle la sécurité est « un problème informatique ».
(Connexe : Les priorités en matière de sécurité mettent l’accent sur le rôle croissant du RSSI)
Pour changer cela, Schatz affirme avoir travaillé avec les dirigeants de l’entreprise pour déplacer la fonction de sécurité hors de l’informatique afin de lui donner une plus grande visibilité dans tous les domaines d’activité. Même si cela n’a pas résolu immédiatement les problèmes, « nous avons pu nous impliquer plus efficacement dans toutes les fonctions de l’entreprise tout en conservant de bonnes relations avec nos collègues informatiques », dit-il. « L’ajout du rôle d’un responsable de la sécurité de l’information (BISO) pour nos domaines d’activité clés a contribué à rendre ce processus beaucoup plus facile pour les deux parties. »

Tim Dzierzek, RSSI de la société de recrutement de personnel de santé Aya Healthcare, convient qu’il y avait autrefois le sentiment que « la sécurité est un problème technique, et j’ai l’impression que vous éduquez toujours les dirigeants sur le fait que la sécurité est un processus global ».
Aujourd’hui, il affirme que le rôle du RSSI a évolué, passant d’un rôle de professionnels de la sécurité « examinant beaucoup de choses » à un rôle davantage axé sur la gestion des risques et la gestion de la confiance dans l’ensemble de l’organisation.
« Je constate définitivement une plus grande implication de la sécurité dans l’entreprise que vous n’avez jamais vue dans le passé, qu’il s’agisse de la gouvernance des données et maintenant même de la gouvernance de l’IA, afin de réellement exploiter l’intelligence artificielle pour nous et nos clients », ajoute Dzierzek.
(Connexe : Quelle est la prochaine étape pour le rôle de RSSI ?)
La plupart des entreprises étant désormais considérées comme des entreprises technologiques, la transformation numérique implique aussi bien le RSSI que le CIO, dit-il. Tout en garantissant la conformité des données sensibles, le RSSI est devenu un conseiller clé sur la manière dont la technologie est utilisée et permet aux entreprises d’atteindre leurs objectifs commerciaux.
« Il s’agit donc de passer d’une fonction de sécurité en coulisses à une fonction de guidage des entreprises de manière sécurisée », explique Dzierzek.
Aya Healthcare n’aime pas les cloisonnements, ajoute-t-il, et « je trouve qu’une grande partie de mon rôle consiste à rencontrer les gens du secteur. … Il existe une relation (composante) avec le rôle de RSSI qui n’était pas vraiment en place dans les entreprises passées.

Porter plusieurs chapeaux – à commencer par le risque
Le rôle de Schatz était à l’origine axé sur la sécurité de l’information au sein du département technologique de l’entreprise au sens large – ce qui, selon lui, était courant il y a cinq ou dix ans, « et c’est probablement encore la configuration typique pour de nombreuses organisations qui commencent tout juste à prendre ce sujet au sérieux ».
Mais l’évolution rapide du paysage des cybermenaces et la pression externe croissante des clients, des régulateurs et des organes législatifs obligent les organisations à adopter une vision plus globale des cyberrisques, explique Schatz.
« Les dirigeants reconnaissent que le cyber-risque est un risque systémique » et ils commencent à se rendre compte que « le RSSI est bien placé pour aider à résoudre ce problème en dehors du simple informatique traditionnel », dit-il. «Dans mon cas, cela signifie que mon rôle s’est élargi dans plusieurs domaines au cours des dernières années.»
(Connexe : Les 10 plus grands problèmes auxquels les cyber-équipes et les dirigeants sont confrontés aujourd’hui)
La liste des responsabilités supplémentaires de Schatz comprend la supervision de la protection technique de la confidentialité des données. Même si le conseiller juridique de Qiagen conserve la responsabilité globale du respect des réglementations en matière de confidentialité, il déclare que « l’interprétation et la mise en œuvre des contrôles techniques sont considérées comme la responsabilité du RSSI et relèvent donc de moi ».
Conformément au « thème du risque systémique », Schatz a récemment été invité à mettre en place une capacité formelle de gestion de crise pour l’organisation. « Cela a été motivé par la prise de conscience qu’un scénario lié à la cybersécurité est l’un des déclencheurs les plus probables d’une crise dans notre contexte organisationnel. C’est pourquoi la responsabilité globale m’a été confiée », explique Schatz.
À peu près au même moment, la nécessité d’établir un programme de gestion de la continuité des activités (BCM) à l’échelle de l’entreprise est devenue évidente, ajoute-t-il. « Étant donné qu’une grande partie de l’organisation dépend des actifs numériques, il n’était pas surprenant que cela relève également du champ d’action du RSSI. »
Cependant, Schatz a rétorqué, affirmant qu’au lieu d’accepter simplement une autre responsabilité, il avait travaillé avec les dirigeants pour trouver la bonne place pour la fonction BCM qui fonctionnerait le mieux à long terme. « Le RSSI est désormais un partenaire clé du programme BCM au lieu d’ajouter l’entière responsabilité à la charge existante », dit-il.
(Connexe : Conteur en chef des risques : Comment les RSSI développent encore une autre compétence)
Et la prise en charge de la fonction de gestion des risques d’entreprise (ERM) il y a environ 18 mois « a rendu considérablement plus difficile l’équilibre entre les responsabilités de la fonction RSSI et les exigences d’une fonction ERM ».
Mais dans ce cas, Schatz a pu ajouter des ressources supplémentaires pour le soutenir dans le programme ERM.
« Dans le même temps, je compte davantage sur les membres de mon équipe de sécurité pour assurer le fonctionnement efficace et efficient du programme de sécurité », déclare-t-il. «Je dois strictement prioriser là où je mets mes efforts et ma concentration. Heureusement, il existe des synergies entre les rôles et je dispose d’une super équipe sur laquelle je sais pouvoir compter.
La technologie opérationnelle change la donne en matière de cybersécurité
Ian Bramson a connu plusieurs changements clés au cours des sept à huit dernières années où il s’est concentré sur l’aspect technologique opérationnel de la cybersécurité. Bramson, vice-président de la cybersécurité industrielle mondiale chez la société d’ingénierie et de construction Black & Veatch, affirme qu’il y avait autrefois « une résistance importante, voire un déni, concernant la cybersécurité des OT ». Les clients étaient soit dédaigneux quant à l’exposition de leurs réseaux OT, soit affirmaient qu’ils n’étaient pas des cibles pour les adversaires.
Mais à mesure que les réseaux OT sont devenus plus interconnectés et que les attaques cyber-physiques contre les opérations des infrastructures critiques sont devenues plus fréquentes, Bramson affirme que « les perceptions ont commencé à changer ». Son rôle a évolué, passant de la tentative de convaincre les clients qu’il y avait un problème à la réponse à leur « que faisons-nous maintenant ? » questions, dit-il.
« Les hauts dirigeants et les conseils d’administration des sociétés d’infrastructures critiques sont de plus en plus préoccupés et se tournent souvent vers leurs RSSI avec pour mandat de « garantir notre sécurité » et de « maintenir les opérations » », explique Bramson. « Cela crée de nouveaux défis pour ces RSSI, car l’environnement OT fonctionne très différemment de l’environnement informatique. »

Des questions telles que la protection des systèmes existants et des équipements à haut risque ainsi que l’accent mis sur la disponibilité sont essentielles à ces environnements, dit-il. « Les RSSI commencent à assumer des responsabilités sur les réseaux opérationnels et les cyber-conséquences qu’ils ne comprennent souvent pas. »
À mesure que la sécurité et la disponibilité deviennent des impératifs, la pression sur les RSSI continuera de croître, explique Bramson. « Nous assistons déjà à de plus en plus de discussions sur l’intégration du cyber dans les nouvelles constructions et les projets de modification majeurs », dit-il. « Les entreprises se rendent compte que la cybersécurité est mieux intégrée dès le départ. Cela élargit encore davantage le rôle du RSSI dans l’ensemble de leurs entreprises et opérations.
L’OT est également devenu une priorité pour Jarvis d’Iron Mountain, car « l’intégration de la sécurité physique et numérique est essentielle dans un environnement hybride. De plus, la planification de la continuité des activités joue un rôle important dans la protection des opérations contre les perturbations, qu’il s’agisse de cyberattaques ou d’autres menaces », déclare-t-il.
Une plus grande visibilité peut être une arme à double tranchant
Il est indéniable qu’une plus grande visibilité et une plus grande attention – sans parler des nouvelles constantes sur les cyberattaques très médiatisées – entraînent un stress supplémentaire. Dzierzek d’Aya Healthcare affirme que son expérience dans le Corps des Marines des États-Unis lui a donné des mécanismes intégrés pour faire face.
Cela inclut aller courir, prendre des pauses de 15 minutes et s’éloigner, et le soir faire autre chose que la sécurité, dit-il. Mais dans le passé, Dzierzek reconnaît qu’il a « traversé des périodes d’épuisement professionnel ». … Il est difficile de s’en sortir si l’on n’a pas la capacité de prendre du recul et de respirer lorsque des incidents de sécurité surviennent.»
(Connexe : Cher PDG : Il est temps de repenser le leadership en matière de sécurité et de responsabiliser votre RSSI)
Les responsabilités supplémentaires créent certainement plus de pression, surtout lorsque les ressources sont limitées, ajoute Schatz de Qiagen. « Avoir une équipe solide et fiable fait une énorme différence, mais en fin de compte, il s’agit de prioriser et de se concentrer sur ce qui compte le plus. Il n’est pas facile d’accepter que certaines choses ne soient pas réalisées, et cela peut ajouter au stress.»
Les RSSI, comme les autres chefs d’entreprise, doivent trouver leur propre façon de se sentir à l’aise pour prendre des décisions difficiles dans des situations incertaines afin d’équilibrer le stress, les performances et la santé mentale, dit-il.
Dans l’ensemble, Schatz qualifie les responsabilités supplémentaires de bénédiction mitigée. « C’est clairement une évolution positive que les dirigeants reconnaissent les avantages supplémentaires qu’un RSSI peut apporter à l’organisation et leur confient des responsabilités supplémentaires », dit-il. L’avantage est que les RSSI en bénéficient en augmentant leurs compétences professionnelles, en acquérant une compréhension plus approfondie de leur organisation et de l’univers des risques dans lequel ils opèrent, et peuvent devenir un leader plus complet.
« L’autre aspect de cette situation est l’augmentation évidente de la pression sur votre temps pour gérer des responsabilités accrues et le fait d’être assez souvent en dehors de votre zone de confort », note-t-il. Cela dit, tout haut dirigeant est censé être capable d’être efficace avec des ressources limitées et de les optimiser dans le cadre de ces contraintes, explique Schatz.
«Mais il est également important que l’organisation fournisse suffisamment de ressources pour permettre le succès», souligne-t-il. « Tant que tout cela est équilibré, je suis prêt à relever le défi. »