Les RSSI peuvent établir une nouvelle norme en 2026 en s’attaquant de manière proactive aux nouvelles menaces.
Le début d’une nouvelle année signifie un nouveau départ pour tout le monde, y compris pour les équipes de cybersécurité. Les budgets et les plans étant désormais finalisés, il est temps pour les RSSI et leurs équipes d’exécuter leurs stratégies. Mais cela ne signifie pas que l’innovation s’arrête une fois le plan finalisé.
En 2026, les RSSI devraient s’efforcer d’aller au-delà des normes de conformité en matière de cybersécurité pour maintenir la résilience de leurs organisations face aux menaces émergentes. Historiquement, ces normes, telles que HIPAA, SOC2, ISO 27001 et autres, ont établi la référence en matière de procédures et de contrôles de sécurité. Effectués correctement, ces outils peuvent être précieux pour les RSSI pour justifier leurs investissements. Mais il s’agit d’une arme à double tranchant : les entreprises qui s’appuient uniquement sur la conformité peuvent passer à côté de risques importants et émergents.
Voici comment les RSSI peuvent laisser la mentalité de liste de contrôle de conformité en 2025, là où elle appartient.
Normes de conformité : nécessaires, pas suffisantes
Les normes de conformité ont toujours servi de base à la plupart des programmes de cybersécurité et sont souvent bien intentionnées. PCI-DSS est né d’un consortium de processeurs de paiement qui avaient mis en œuvre des contrôles dupliqués et incohérents, compliquant l’intégration du réseau et augmentant les coûts. Les règles de confidentialité et de sécurité de la HIPAA ont évolué en réponse aux préoccupations concernant la confidentialité et la numérisation des dossiers médicaux électroniques.
Ces normes fournissent une base de contrôle pour assurer leur protection. Cependant, ces normes couvrent généralement des menaces bien connues et peuvent ne pas suivre le rythme des architectures ou des menaces actuelles. Ils peuvent également faire l’objet de différentes interprétations. Par exemple, la plupart des normes de conformité comportent de vagues exigences en matière de surveillance active des fournisseurs d’une entreprise. Un RSSI exécutant un programme conforme ne peut examiner un fournisseur qu’une fois par an ou après des modifications importantes du système. Les normes de conformité n’ont pas suivi les meilleures pratiques consistant à surveiller en permanence les fournisseurs pour rester au courant des risques liés aux tiers.
Cela met en évidence l’une des incitations les plus malheureuses que connaît tout RSSI qui gère un programme de conformité : il est souvent plus facile de fixer une norme moins stricte et de la dépasser que de fixer un meilleur objectif et de risquer de ne pas l’atteindre. Cette dernière situation conduit à des conclusions d’audit et parfois à une mauvaise volonté politique. Mais à quoi conduit le premier ?
Cela conduit à la complaisance et au sous-financement systémique des programmes de sécurité. À tort ou à raison, les RSSI justifient 78 % de leurs besoins budgétaires par la conformité, selon une enquête menée par Hitch Partners en 2025. Ce nombre constitue l’épine dorsale et peut être encore plus élevé dans les secteurs hautement réglementés avec des normes de conformité plus prescriptives. Mais si ces 80 % environ sont interprétés comme 100 % des besoins de votre programme, vous ne parviendrez pas à répondre à ce qui est requis pour exécuter un programme de sécurité tourné vers l’avenir.
C’est là que vous, en tant que RSSI, jouez un rôle crucial dans la mission de votre équipe de sécurité. Et heureusement, de nombreuses normes de conformité vous offrent des leviers que vous pouvez utiliser à votre avantage.
La nouvelle étoile polaire pour les RSSI : prise en compte des risques émergents
Nous avons établi qu’il ne suffit plus de s’adapter à une norme de conformité, mais vous pouvez toujours utiliser la conformité à votre avantage.
La plupart des programmes de conformité imposent une évaluation des risques liés à la sécurité des informations et, dans une grande entreprise, vous disposez peut-être déjà d’une fonction dédiée à la gestion des risques d’entreprise. En tant que RSSI, vous influencez la portée de cette évaluation des risques liés à la sécurité de l’information, la méthodologie et, peut-être plus important encore, l’horizon temporel. Trois stratégies clés à considérer :
Prolonger l’horizon temporel
Idéalement, vous souhaitez envisager des scénarios sur 3 à 5 ans afin de pouvoir les devancer. Nous constatons déjà une évolution des menaces provenant de l’IA, davantage de violations provenant de fournisseurs tiers vulnérables et le risque de menaces de récolte maintenant-décryptage-plus tard provenant de l’informatique quantique au cours de la décennie. Aucun des contrôles relatifs à ces scénarios de risque ne peut être activé du jour au lendemain. Il est donc primordial de s’y préparer ainsi que d’autres risques émergents.
Utiliser des méthodologies basées sur les risques ou les scénarios dans la mesure du possible
Quelle est la situation que vous essayez d’éviter ? La conformité basée sur les actifs ou les contrôles est la source de l’étiquette de la case à cocher. Cela peut être important au début d’un programme de sécurité pour garantir que vous disposez d’une couverture adéquate, mais vous serez confronté à la mentalité des 80 % mentionnée précédemment.
Avec les scénarios, vous commencez avec une vue plus large du risque et cartographiez les contrôles associés. Vous pouvez également définir des scénarios de risque personnalisés, qui vous permettent d’introduire formellement des exigences au-delà des routines de conformité existantes. Ils peuvent également être plus spécifiques que ce que vous trouverez dans les déclarations de contrôle ou les scénarios standards.
Quantifier la perte
L’une des lacunes les plus courantes des évaluations des risques axées sur la conformité réside dans les calculs simplistes autour de la probabilité et de l’impact. Bon nombre des risques émergents mentionnés ci-dessus ont une probabilité plus faible mais un impact extrêmement élevé et même une certaine incertitude quant aux délais. En utilisant ce calcul simpliste, ces risques extrêmes n’apparaissent pas souvent de manière organique ; au lieu de cela, ils doivent être extraits du lot de notations de fréquence x impact inférieures. Définir cet impact en dollars et en cents permet d’éviter le bruit. 250 000 $ contre 18 millions de dollars pourraient tous deux donner une note de « 5 » pour l’impact au sens traditionnel du terme, mais l’un a clairement plus d’impact que l’autre.
En pratique, cela peut être difficile si votre programme est plus récent et dépend fortement de la stature et de la culture du risque de votre organisation de sécurité. N’oubliez pas que même si vous réussissez à lancer la discussion sur ces points, vous renforcez la sensibilisation et préparez le terrain pour de futurs investissements.
Comment obtenir l’adhésion du conseil d’administration
Les dirigeants financiers qui approuvent le plan de cybersécurité d’un RSSI vivent dans la zone du risque. Chaque jour, ils font des paris calculés sur ce qui rapportera à l’entreprise. Le conseil d’administration voudra savoir quelles normes de conformité vous ne respectez pas, ainsi que la probabilité et l’impact en termes financiers.
Les RSSI peuvent leur assurer qu’un audit propre qui vérifie toutes les cases de conformité peut être suffisamment sûr pour être montré aux clients potentiels, mais s’en tenir à cela établit une norme « suffisamment bonne qui ne tient pas compte des risques qui pourraient ne pas faire partie de la norme de conformité avant 2 à 3 ans de plus. Bien que cela puisse ressembler à des extras au conseil d’administration, la quantification des risques, la comparaison avec les concurrents et le calcul des contrôles optimaux en termes de coût sont essentiels. Par exemple, une campagne de sensibilisation, un processus d’approbation ou un module de formation peuvent être moins chers que l’ajout de logiciels supplémentaires ou de solutions ponctuelles autour des solutions génératives. Sécurité de l’IA et réduction des risques à un niveau acceptable.
Si votre budget a déjà été approuvé sans tenir compte de ces domaines d’intervention, le moment est venu de commencer à intégrer une approche axée sur le risque dans les discussions avec votre conseil d’administration. Vous devriez en parler toute l’année, pas seulement pendant la saison budgétaire, lorsque vient le temps de présenter votre plan. Elle positionnera la sécurité comme un moyen de protéger les revenus, d’améliorer l’efficacité du capital, de préserver l’intégrité de la trésorerie et d’optimiser les coûts, plutôt que comme un centre de coûts.
Le début de l’année est le moment idéal pour les RSSI pour commencer à changer la mentalité de leur organisation sur les risques de cybersécurité. Adoptez une approche axée sur le risque qui va au-delà des normes de conformité et se concentre sur la résilience face aux menaces émergentes.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
