Que signifie réellement l’alignement de la sécurité sur l’entreprise ?

Au sein du centre d’excellence en IA de son entreprise, Tim Sattler s’efforce d’identifier où et comment la technologie peut apporter des avantages mesurables.

« Nous discutons des opportunités », dit-il.

Que l’équipe IA de Jungheinrich AG fasse cela n’est guère remarquable. Ce qui est remarquable, c’est que Sattler, RSSI du fabricant allemand d’équipements d’entrepôt et de solutions technologiques, fait partie de l’équipe.

C’est un rôle que les chefs de la sécurité ne jouent généralement pas.

Sattler considère son appartenance au centre d’excellence en IA comme la preuve que lui et son équipe de sécurité sont en phase avec l’entreprise et sa vision stratégique.

« Je considère que mon rôle consiste non seulement à voir tous les risques mais aussi toutes les opportunités que présente l’IA. Je sors donc du coin du risque et j’ai vraiment une vision d’ensemble », explique-t-il.

Il a adopté la même approche lorsque ChatGPT est arrivé, date à laquelle lui et son équipe ont plongé en profondeur dans de grands modèles de langage « pour comprendre comment la technologie fonctionnait, comprendre les risques et les nouvelles opportunités commerciales qu’elle créerait afin que nous puissions dire : « Voici les règles ; voici comment vous pouvez l’essayer et jouer avec. »

Et il fait à peu près la même chose avec l’informatique quantique, expliquant que les membres du conseil d’administration ont sollicité son avis et celui de son personnel de sécurité sur la technologie et son potentiel, et pas seulement sur ses implications en matière de cybersécurité.

«Ils savaient que nous étions les bonnes personnes à qui parler en premier du quantum, car nous avons prouvé que nous nous considérons dans ce rôle consultatif», explique Sattler. « Très souvent, l’entreprise (le chef d’unité) ne voit que des opportunités, et les conseillers externes peuvent être très axés sur les ventes, de sorte que les deux peuvent ne pas être très objectifs. Mais nous (dans le domaine de la sécurité) avons une position neutre, voyant les risques et les récompenses. C’est désormais le rôle du RSSI et de l’organisation de sécurité. »

Sattler affirme qu’occuper un tel poste démontre que la sécurité et l’entreprise sont alignées.

« Pour moi, l’alignement signifie que la sécurité de l’information soutient la stratégie de l’organisation », explique Sattler, qui est également membre du conseil d’administration de l’association de gouvernance ISACA. « Cela signifie que nous savons quels sont les objectifs de l’organisation, ce qu’elle veut réaliser, nous comprenons l’environnement commercial, ce que fait la concurrence, quelles sont les tendances du secteur. Ce sont toutes des choses que la sécurité doit connaître pour soutenir l’innovation et la croissance et pour aider l’organisation à atteindre ses objectifs. Et cela signifie que la sécurité ne peut pas se concentrer uniquement sur le risque. Nous devons également voir les opportunités. « 

Alignement : un impératif du service de sécurité

L’idée d’alignement est aujourd’hui importante en matière de sécurité. Une seule recherche sur Internet le prouve, produisant d’innombrables résultats contenant certaines variations de « l’alignement sécurité-entreprise ».

Pourtant, les recherches montrent que de nombreux RSSI ne sont pas en phase avec le reste de l’organisation.

L’étude 2025 d’EY Global Cybersecurity Leadership Insights, par exemple, montre que seulement 13 % des RSSI « ont été consultés dès le début lorsque des décisions stratégiques urgentes étaient prises » et « 58 % des RSSI et des responsables de la cybersécurité déclarent qu’il est difficile d’exprimer leur valeur au-delà de l’atténuation des risques ».

Parallèlement, le rapport Splunk 2025 sur les RSSI a révélé des écarts entre la façon dont les RSSI et les conseils d’administration perçoivent les priorités. Par exemple, le rapport révèle que 52 % des membres de conseils d’administration interrogés pensent que les RSSI consacrent la majeure partie de leur temps à l’accompagnement des entreprises, mais que seulement 34 % des RSSI conviennent que c’est le cas. Et 55 % des membres du conseil d’administration ont déclaré que le sens des affaires était une compétence très précieuse pour les RSSI, mais seulement 40 % des RSSI l’ont classé comme une compétence qu’ils devraient développer.

Face à de telles disparités, il convient de se demander : que signifie réellement l’alignement de la sécurité sur l’entreprise ? Pourquoi est-ce important ? Et quelles sont les stratégies que les RSSI peuvent utiliser pour y parvenir.

Si les RSSI veulent réussir à aligner la sécurité sur leur activité, ils doivent faire de cet alignement plus qu’un mantra, explique Katell Thielemann, vice-présidente et analyste distinguée du cabinet de recherche Gartner.

« Il ne suffit pas de le dire, il faut le faire », explique-t-elle. « Il existe un contingent de cybersécurité qui se considère comme une île, mettant en œuvre une défense en profondeur dans tous les coins de l’organisation, adoptant tous ces cadres et normes, mais les rendements sont décroissants. Ainsi, au lieu de dire : « C’est notre discipline de cybersécurité et nous faisons toutes ces choses parce que les références nous le demandent », les RSSI doivent aligner leurs efforts sur le modèle commercial de leur organisation. « 

Indicateurs d’alignement

Selon Thielemann, un baromètre de l’alignement sécurité-entreprise en action est lorsque les équipes de sécurité s’engagent avec l’entreprise et utilisent des mesures commerciales pour déterminer l’efficacité de la sécurité.

À titre d’exemple, elle cite le partenariat entre la sécurité et l’ingénierie dans une usine de fabrication qui possédait des appareils utilisant des logiciels qui n’étaient plus pris en charge par le fournisseur. Les deux équipes ont travaillé ensemble pour mettre en œuvre les mesures de sécurité nécessaires, telles que la segmentation, qui n’interféreraient pas avec les opérations mais ajouteraient la sécurité nécessaire. Savoir planifier les travaux de sécurité pendant les temps d’arrêt de l’usine a démontré davantage l’alignement.

«Cela montre que la sécurité connaît le métier et ne se limite pas à la cybersécurité en tant que discipline», déclare Thielemann.

Pour s’aligner, dit-elle, les responsables de la sécurité doivent « connaître les objectifs de l’entreprise et les utiliser pour façonner leur stratégie, qu’il s’agisse de la maîtrise des coûts, de la conquête de nouveaux marchés, de l’adoption du cloud. Le guide commence par la compréhension des priorités organisationnelles, puis par l’analyse de ce que font les acteurs de la menace dans ce secteur et de ce qui pourrait mal tourner, quel est le risque avec lequel nous pouvons vivre, et enfin comprendre et articuler l’impact commercial des incidents de sécurité. »

Ayan Roy, Le responsable américain des compétences en cybersécurité au sein de la société de services professionnels EY cite un autre exemple d’alignement impliquant une entreprise en acquérant une autre dans le cadre d’une stratégie visant à pénétrer de nouveaux marchés. Le RSSI de l’entreprise, sachant que l’établissement d’un climat de confiance avec les clients était essentiel à la croissance après la fusion, a conçu une stratégie visant à renforcer la sécurité de l’entreprise acquise jusqu’aux niveaux nécessaires pour garantir une intégration réussie, l’expansion et la croissance de l’entreprise.

Robert T. Lee, directeur de l’IA et chef de la recherche au sein de la société de formation et de certification en sécurité SANS, affirme que l’alignement peut également être observé d’autres manières, par exemple quand et comment la sécurité fonctionne avec l’entreprise. Par exemple, les RSSI qui reconnaissent la nécessité de renforcer la sécurité tout en réduisant les frictions demandent souvent à leurs services de sécurité de travailler avec les unités commerciales dès les premières étapes des initiatives. Les équipes de sécurité intégrées aux unités de R&D afin « qu’elles soient capables de déployer des éléments avec beaucoup plus de ressources ou un modèle de confiance » sont un autre signe d’alignement, explique Lee.

« L’alignement dans toute la sécurité de l’information se concentre vraiment sur l’idée de soutenir les opérations. Il s’agit de gestion des risques en mettant l’accent sur la facilitation des opérations », déclare le Dr James Jaurez, directeur du département de cybersécurité et de technologie de l’Université nationale.

Et l’alignement sécurité-entreprise a de la valeur. Selon l’étude EY Global Cybersecurity Leadership Insights 2025, « la cybersécurité contribue à hauteur de 11 % à 20 %, soit une valeur médiane de 36 millions de dollars américains, à chaque initiative stratégique à l’échelle de l’entreprise dans laquelle elle est impliquée ».

Le manque d’alignement persiste pour beaucoup

Mais comme l’a révélé l’étude d’EY, l’alignement existe dans une fraction des organisations. Et comme le dit Jaurez, tout comme il existe des indicateurs d’alignement sécurité-entreprise, il existe des signes d’absence d’un tel alignement.

Selon lui, l’un des indicateurs est la « sursécurité », où les coûts des mesures de sécurité et les frictions qu’elles introduisent dans les processus de travail et les opérations de l’organisation dépassent la valeur qu’elles apportent. Une autre situation est celle où les responsables de la sécurité ne connaissent pas ou ne peuvent pas articuler la vision ou les objectifs stratégiques de l’organisation, explique-t-il.

D’autres soulignent que la sécurité se sent exclue ou intégrée aux initiatives une fois celles-ci en cours, comme indicateur d’un manque d’alignement.

« Lorsque la sécurité n’est pas alignée, elle réagit aux changements plutôt que de les façonner », explique Matt Gorham, responsable du Cyber ​​and Risk Innovation Institute de PwC. « Mais lorsque la sécurité ne s’attaque pas à l’entreprise, c’est parce qu’elle est présente dès le début et qu’elle dit : « Voici comment je peux aider l’entreprise à se développer et à se développer en toute sécurité. »