Happy confident mature 45 years old business man investor standing in office looking away. Middle aged rich business owner male ceo executive leader wearing suit at work thinking on future success.

Les RSSI redéfinissent leur rôle de stratège des risques commerciaux

Lucas Morel

L’ère de l’IA a accéléré la nécessité pour les RSSI de devenir des acteurs clés de la gestion des risques dans l’ensemble de l’entreprise. Voici comment intensifier.

L’histoire de carrière de Nitin Raina ressemble à celle de nombreux RSSI : il a travaillé dans l’infrastructure, les opérations et les services informatiques avant de se lancer dans la sécurité et de gravir les échelons. Il est désormais responsable mondial de la sécurité de l’information au sein du cabinet de conseil technologique Thoughtworks.

Mais dans une démarche professionnelle moins courante, Raina a également accédé au poste de responsable mondial des risques d’entreprise, poste qu’il occupe chez Thoughtworks depuis 2020. Il a mérité ce poste, dit-il, en raison de sa capacité et de sa propension à parler « du risque dans sa globalité ».

Après avoir pris ce poste, Raina a créé la fonction de gestion des risques d’entreprise, qu’il supervise désormais. La fonction identifie et atténue les risques stratégiques, opérationnels et de cybersécurité dans toute l’organisation, et effectue des évaluations approfondies des risques et des analyses des lacunes pour découvrir les vulnérabilités et les inefficacités au sein des processus, systèmes et contrôles commerciaux critiques.

Raina affirme que la gestion des risques d’entreprise lui convient naturellement en tant que RSSI, c’est pourquoi il estime que les deux rôles devraient être associés plus fréquemment.

« En tant que RSSI, nous pouvons mener la conversation sur les risques », déclare Raina. « Nous avons la capacité et le forum dans lequel nous pouvons en parler. »

La plupart des RSSI ne détiennent pas de titre de risque, comme Raina, mais les chercheurs, conseillers exécutifs et autres responsables de la sécurité affirment que les RSSI assument de plus en plus de tâches de gestion des risques d’entreprise.

C’est une expansion logique, disent ces experts. Les RSSI sont formés depuis des années pour identifier la manière dont les cyber-risques posent des risques commerciaux et pour comprendre quels risques représentent les plus grands risques pour l’entreprise, si l’impact de l’un d’entre eux dépasse la tolérance aux risques de l’organisation, et si oui, dans quelle mesure.

Le travail des RSSI est plus critique que jamais, affirment-ils en outre. Presque toutes les opérations commerciales sont devenues numériques. Cela fait de tout cyber-risque un risque important pour l’entreprise et fait aujourd’hui de la résilience un impératif opérationnel. À ce titre, le RSSI doit être un acteur clé dans l’évaluation et la gestion des risques commerciaux.

« Les RSSI se concentraient autrefois sur les risques informatiques et de cybersécurité. Ils se demandaient : « Quels sont les risques que je coure pour les plates-formes, les applications, les systèmes, la pile technologique ? » C’était un plan très plat », explique Paul Caron, responsable mondial des services gérés et responsable de la cybersécurité pour les Amériques chez S-RM, un cabinet mondial de conseil en intelligence d’affaires et en cybersécurité. « Mais la situation a évolué au cours des dernières années et les RSSI sont désormais attirés vers de nouveaux domaines. On leur demande : « Quels sont les risques pour l’entreprise ? » »

Les RSSI ouvrent la voie en matière de risque

Dans le rapport RSSI 2026 du fabricant de plateformes de données Splunk, 78 % des RSSI ont déclaré une responsabilité conjointe avec d’autres dirigeants techniques de la suite C (CIO, CTO, etc.) pour les risques opérationnels liés à la sécurité, 56 % ont cette responsabilité conjointe avec les PDG et 29 % ont une responsabilité conjointe avec d’autres rôles de la suite C (CFO, directeur juridique, etc.).

Le rapport révèle également que 96 % des RSSI sont désormais responsables de la gouvernance de l’IA et de la gestion des risques.

Parallèlement, le rapport CISO Top 10 du premier trimestre 2026 de CyberRisk Alliance révèle que la gouvernance, le risque et la conformité sont aujourd’hui la priorité absolue des RSSI. Le rapport indique que cela reflète le « rôle du GRC en tant que principal mécanisme par lequel la cybersécurité gagne la confiance des dirigeants et des conseils d’administration ».

Le rapport note également que « les organisations sont sous pression pour prouver que la surveillance des risques est continue, défendable et intégrée dans la prise de décision de l’entreprise. On attend de plus en plus des RSSI qu’ils unifient les obligations réglementaires, la tolérance au risque de l’entreprise et les contrôles de sécurité dans un modèle opérationnel cohérent qui prend en charge la gouvernance en temps réel ».

L’évolution des risques nécessite un nouveau profil de leadership RSSI

Le passage au RSSI en tant que poste de risque, et non limité à la seule technique et à la cybersécurité, a pris des années. Mais cela s’est accéléré depuis l’arrivée de ChatGPT fin 2022, alors que les organisations ont adopté d’abord l’IA générative et plus récemment l’IA agentique. En effet, l’IA se confond avec les processus métier, alors que les technologies précédentes ne permettaient que les processus métier. Cette fusion fait monter les enjeux et rend les risques cyber, numériques et commerciaux presque synonymes.

Cette évolution a poussé le RSSI plus profondément dans l’évaluation et la gestion des risques, et elle nécessite un type de RSSI différent de celui du passé.

« Les RSSI ne peuvent pas se promener et prendre des décisions fondées sur la peur ou la conformité. Ils doivent désormais être capables de parler du risque en termes commerciaux. Ils doivent comprendre que le risque est une conversation commerciale », déclare Leon DuPree, maître de conférences à la School of Information Security and Applied Computing de l’Eastern Michigan University.

Pour ce faire, les principaux RSSI quantifient à la fois les risques et le retour sur investissement de leurs options pour faire face à ces risques, explique DuPree, notant que beaucoup utilisent le modèle d’analyse factorielle des risques liés à l’information (FAIR) pour comprendre et positionner les risques cyber et opérationnels en termes financiers.

« C’est la direction que tentent de prendre les RSSI, afin de faciliter le changement et l’innovation en s’appuyant sur le retour sur investissement de tous les dollars dépensés en actifs de sécurité et en atténuation des risques », ajoute-t-il.

Caron de S-RM voit davantage de RSSI adopter cette approche.

Par exemple, il affirme que de plus en plus de responsables de la sécurité sont chargés d’évaluer et de modéliser les risques associés aux utilisations de l’IA au sein de leurs organisations et de signaler l’impact de ces risques sur les processus métier, et pas seulement sur l’intégrité des données et les systèmes informatiques.

Pour accomplir de telles tâches, les RSSI doivent faire davantage appel à leurs compétences de direction qu’à leur sens du cyberespace, explique Caron. Ils doivent identifier les risques liés au déploiement de l’IA et d’autres technologies, quantifier ces risques en termes commerciaux, proposer des stratégies d’atténuation, quantifier la manière dont chaque option d’atténuation réduit les risques commerciaux et aider à prioriser les tâches liées aux risques en fonction des rendements attendus et des objectifs commerciaux.

« Cela nécessite davantage le point de vue d’un chef d’entreprise qu’un point de vue très technique. Les RSSI doivent donc désormais être chargés d’orienter la conversation dans des directions qui montrent qu’ils sont un partenaire de l’entreprise pour accélérer la croissance », explique-t-il. « Les entreprises d’aujourd’hui exigent de plus en plus un RSSI d’entreprise. »

Caron reconnaît qu’il s’agit d’une demande importante, qui oblige les RSSI à élargir leur base de connaissances au-delà des aspects techniques et même de la conformité aux opérations commerciales, à la stratégie d’entreprise et aux conditions du marché.

« Je pense que c’est là que les RSSI doivent commencer, mais pas nécessairement là où ils en sont aujourd’hui », ajoute-t-il. « Beaucoup ont encore du mal à faire face au changement mental que cela nécessite. »

Une question d’appétit

Steve Martano, membre du corps professoral de l’IANS Research et partenaire de la pratique de cybersécurité d’Artico Search, affirme que la majorité des RSSI gravissent les échelons techniques et techniques, de sorte que nombre d’entre eux trouvent encore des tâches nouvelles en matière d’évaluation et de gestion des risques d’entreprise.

Mais, comme Caron, il dit que cela fait désormais partie du concert.

« Je pense que comprendre l’impact des technologies émergentes sur le profil de risque de l’organisation est quelque chose qu’ils doivent faire, et je pense que la conversation autour du risque d’entreprise est toujours quelque chose que les praticiens de la sécurité devraient rechercher lorsqu’ils communiquent », dit-il.

Mais Martano, comme d’autres, affirme également que les RSSI n’ont pas – et ne devraient pas assumer – la responsabilité de définir l’appétit pour le risque de l’organisation.

« Ce n’est pas le travail du RSSI de revoir la posture de risque elle-même. Ce n’est pas le travail du RSSI de dire : ‘Nous opérons trop librement' », déclare Martano.

Au lieu de cela, les RSSI doivent posséder « une bonne compréhension de ce que l’organisation considère comme entrant et sortant des limites » afin de pouvoir « signaler comment les technologies, les processus et les outils pourraient avoir un effet sur la posture de risque », dit-il. « Le RSSI est le conseiller. »

Les conseils d’administration s’attendent à ce que les RSSI soient capables d’identifier et d’évaluer les risques actuels et futurs, ainsi que de donner des conseils sur l’opportunité d’atténuer, de transférer, de s’assurer ou d’accepter ces risques, ajoute-t-il.

Cela pourrait être plus difficile que jamais, avec l’évolution rapide de la technologie, de l’IA et de leur utilisation par les entreprises.

« Les meilleurs RSSI réfléchissent aux risques qui se profilent. Ils doivent avoir une idée de l’évolution des choses », ajoute Martano. « Ils n’ont pas besoin d’être visionnaires ; mais ils doivent être proactifs en s’engageant davantage en dehors de leurs quatre murs, en s’engageant avec les fournisseurs, en partageant des informations avec leurs pairs, en prenant le pouls au niveau macro. Plus ils diversifient ce qu’ils entendent, mieux c’est, afin qu’ils puissent apporter des pépites d’informations à leurs conseils d’administration et à leurs équipes de direction pour en discuter et voir comment celles-ci affectent la culture du risque de leur propre organisation. »

CSO et RSSISuite CCarrièresDirection informatiqueGestion des risquesSécuritéAlignement informatique d’entreprise

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Malware
Plus de fausses extensions liées à GlassWorm trouvées sur le marché du code Open VSX
Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE