Pour toute personne extérieure au domaine, le rôle du RSSI peut sembler simple : sécuriser l'environnement technologique de l'entreprise. Mais les RSSI, eux, savent que leur travail, dont le champ d'application était peut-être restreint à ses débuts, comprend aujourd'hui un large éventail de responsabilités. Parmi celles-ci, voici les dix qui dominent désormais l'agenda des RSSI.
1) Un paysage de menaces en expansion rapide
Le volume des menaces qui pèsent sur les organisations et la vitesse à laquelle elles se répandent ne cessent de croître, tout comme la sophistication des attaques, selon Jon France, RSSI de l'ISC2, un organisme à but non lucratif de formation et de certification en matière de cybersécurité. « C'est le paysage de la menace le plus difficile que nous ayons connu au cours des cinq dernières années », résume-t-il.
Dans le même temps, la surface d'attaque d'une organisation type s'est élargie, créant un environnement beaucoup plus vaste et plus complexe à défendre. La combinaison des deux phénomènes - le paysage de la menace et la surface d'attaque - fait que les RSSI sont « tiraillés de toutes parts », ajoute-t-il.
2) Protéger une cible mouvante - sans ralentir la transformation
Les RSSI doivent non seulement protéger leur environnement en expansion contre un volume de menaces toujours plus important, mais ils doivent mener à bien cette tâche alors même que l'environnement et les besoins de l'entreprise changent, et ce, de plus en plus vite. « Les technologies émergentes sont sans doute le problème le plus persistant ; et le rythme du changement s'accélère de plus en plus », souligne Vandy Hamidi, RSSI de BPM, un cabinet d'experts-comptables et de consultants.
De plus, Vandy Hamidi explique que lui et les autres responsables de la sécurité doivent faire face à tous ces changements rapides sans freiner le développement et l'évolution de l'entreprise ; en d'autres termes, la sécurité ne doit pas créer de frictions qui nuisent à la position de l'organisation sur le marché. « Si je dois me concentrer sur la réduction du risque global pour l'entreprise, je dois également prendre en compte les effets de mes décisions sur l'activité, la productivité de mes collègues et nos clients eux-mêmes », explique Vandy Hamidi.
Pour répondre à ces exigences, il travaille étroitement avec le DSI de son entreprise « pour élaborer une stratégie basée sur des informations évoluant rapidement. Notre approche est une combinaison d'adoption et d'adaptation, qui permet d'embrasser le potentiel de la technologie tout en abordant les risques. »
3) Une avalanche de réglementations
Parmi leurs préoccupations principales, les RSSI citent également l'allongement de la liste des réglementations qui encadrent leur travail. Niel Harper, RSSI de l'éditeur suisse Doodle et membre du conseil d'administration de l'association de gouvernance informatique ISACA, parle d'une « avalanche de réglementations ». Et de citer, pour l'Europe, l'arrivée récente de la directive NIS2 et du règlement sur la résilience opérationnelle numérique (DORA).
« Il y a tellement d'exigences de conformité qui me prennent maintenant beaucoup de temps, ajoute-t-il. Cela représente beaucoup de travail. » Et le volume de textes n'est qu'une partie du problème. Les RSSI disent qu'ils sont également confrontés à une myriade de réglementations qui ont des exigences différentes et parfois même contradictoires. Ils doivent également faire face à des réglementations qui varient d'une région à l'autre.
Rex Booth, RSSI de SailPoint, spécialiste des systèmes de gestion des identités et des accès, parle de « disharmonie réglementaire » : « toutes ces réglementations tentent d'accomplir à peu près la même chose - la sécurité des produits, des données détenues et de l'organisation elle-même -, mais elles posent ces questions et les mettent en oeuvre de différentes manières », explique-t-il. « Ces textes ne sont pas toujours en désaccord, mais ils ne s'harmonisent pas bien. Et cela rend la vie des RSSI difficile. »
De nombreux RSSI citent également les risques liés aux tiers et à la chaîne d'approvisionnement comme l'une de leurs principales préoccupations. « Comme les entreprises ont moins de contrôle sur la sécurité de leurs fournisseurs, il y a là une vulnérabilité, passant par des attaques sur ces tiers qui peuvent avoir un impact sur les entreprises qui les utilisent », explique Jamil Farshchi, vice-président exécutif, RSSI et directeur de la technologie d'Equifax.
Bien qu'il ne s'agisse pas d'un nouveau sujet de préoccupation, « les entreprises utilisent de plus en plus de tiers et de logiciels de tiers, y compris des logiciels libres », reprend Jamil Farshchi.
Parallèlement, les acteurs malveillants rencontrent plus de succès avec les attaques ciblant la supply chain logicielle, ce qui, bien sûr, contribué à renforcer l'attention que les RSSI accordent à ce sujet. Pour Jamil Farshchi, les RSSI mettent désormais davantage l'accent sur la connaissance de leurs fournisseurs et des composants logiciels comme moyen de contrer la menace.
5) Aligner responsabilité opérationnelle et responsabilité juridique
Lorsque, en 2023, la Securities and Exchange Commission (SEC) des États-Unis a inculpé l'éditeur de logiciels SolarWinds et son RSSI, Timothy G. Brown, pour fraude et défaillance du contrôle interne, les RSSI du monde entier en ont pris bonne note, comme il se doit. C'était la première fois que le gendarme boursier américain inculpait un RSSI.
Ces dernières années, d'autres RSSI ont également été confrontés à de nouveaux niveaux de responsabilité personnelle, ce qui accroît encore les risques que ces professionnels assument, explique Jon France.
En conséquence, il constate que de plus en plus de RSSI demandent à être couverts par une assurance responsabilité civile des administrateurs et des dirigeants et veillent à ce que l'autorité dont ils disposent au sein de leur organisation corresponde bien aux niveaux de responsabilité juridique et réglementaire auxquels ils sont désormais confrontés.
6) Sécuriser l'IA
Les RSSI sont confrontés à l'intelligence artificielle autant que n'importe quel autre cadre dirigeant. Ils s'efforcent de sécuriser l'IA utilisée au sein de leur organisation - et de le faire de manière à ne pas ralentir l'adoption de cette technologie. « Les RSSI essaient de se familiariser avec l'IA, mais elle évolue plus vite qu'ils ne le peuvent », déclare Nick Kathmann, RSSI de LogicGate, un fournisseur de solutions de gestion des risques et de conformité.
L'enquête 2024 CISO Survey de Metomic indique que deux tiers des RSSI interrogés s'inquiètent de voir l'IA générative utilisée pour créer une faille de sécurité. L'enquête révèle également que plus de la moitié des RSSI sont préoccupés par le fait que des employés confient des données sensibles à de grands modèles de langage (LLM) - des actions « qui pourraient potentiellement exposer des informations commerciales confidentielles et la propriété intellectuelle ». Selon Niel Harper (Doodle), les DSI et les RSSI doivent trouver un équilibre entre la sécurité et l'adoption rapide de l'IA, en utilisant des stratégies telles que des politiques de gouvernance solides.
7) Protéger l'organisation contre les menaces basées sur l'IA
Pam Lindemoen, RSSI et vice-présidente de la stratégie de l'association de RSSI Retail & Hospitality ISAC, explique que les secteurs de la distribution et de l'hôtellerie, comme beaucoup d'autres, ont connu « une augmentation massive de la fraude et des escroqueries ».
Et si les escroqueries ne sont pas nouvelles, dit-elle, « elles sont amplifiées par les outils d'IA générative que les fraudeurs utilisent pour créer des contenus réalistes ». Une escroquerie courante consiste à publier de fausses annonces sur un site web ou une application de réservation de voyage légitime. Ces annonces ont l'air authentique grâce au texte et aux images générés par l'IA.
D'autres responsables de la sécurité font également part de leurs inquiétudes quant à l'utilisation de l'IA par les pirates pour créer des attaques plus puissantes ou convaincantes. « Les assaillants utilisent l'IA pour maximiser la qualité et l'ampleur des attaques traditionnelles. L'ingénierie sociale, en particulier, est vraiment facilitée par l'IA. Scattered Spider a eu recours à l'ingénierie sociale et à des agents du service d'assistance pour pénétrer dans un certain nombre d'organisations, mais l'utilisation du clonage vocal par l'IA rend cette attaque encore plus facile à exécuter. Si l'on ajoute les deepfakes aux attaques traditionnelles telles que les arnaques au président ou la compromission des courriels professionnels, la balance a massivement penché en faveur des attaquants », explique Jamil Farshchi (Equifax).
Bien que les RSSI s'inquiètent de l'utilisation de l'IA par les acteurs de la menace, ils élaborent également des stratégies d'utilisation de l'IA pour contrer les attaques le plus efficacement possible. En fait, l'enquête de Metomic a révélé que quatre cinquièmes des responsables de la sécurité interrogés « prévoient de mettre en oeuvre des outils alimentés par l'IA pour lutter contre les nouveaux schémas et les menaces émergentes basés sur l'IA ».
8) Des ressources adéquates
Disposer des ressources adéquates - en particulier sur le plan des compétences, mais aussi en matière de budget - reste une préoccupation majeure de nombreux RSSI, selon Jon France. Les chiffres de l'étude 2024 ISC2 Cybersecurity Workforce Study en témoignent : il y a encore trop peu de compétences pour répondre à la demande en matière de cybersécurité.
En fait, l'ISC2 estime que le déficit sera de 4,8 millions de postes en 2024, la taille de la main-d'oeuvre active en cybersécurité étant de 5,5 millions au niveau mondial, alors que le besoin s'élèverait à 10,2 millions de professionnels. Par ailleurs, en 2024, l'écart entre les travailleurs disponibles et la demande est supérieur de 19 % à ce qu'il était l'an dernier.
Amanda Cody, RSSI de la société de conseil Booz Allen Hamilton, soulève également la question : « la cybersécurité est une question de personnes. Pour remplir son mandat, le RSSI doit attirer des profils et cultiver les compétences de son équipe pour réunir une variété de capacités, d'origines et de perspectives. »
Et d'ajouter : « Trouver ces talents est un problème permanent, éternel et fondamental. Nous devons nous poser la question : avons-nous les bonnes personnes aux bonnes fonctions pour faire le bon travail ? Les développons-nous et les soutenons-nous correctement ? Disposons-nous d'un solide vivier de nouvelles compétences ? En interne, pour nous assurer de bâtir notre vivier de talents, nous avons renforcé les rôles en matière de sécurité à différents niveaux de l'organisation. À mon avis, c'est l'action la plus forte qu'une organisation puisse prendre pour montrer qu'elle s'investit sur le sujet ».
9) La place et le statut de la sécurité
L'instauration d'une véritable culture de la sécurité dans l'ensemble de l'entreprise est une autre question prioritaire des RSSI, comme elle l'est depuis de nombreuses années, d'après de multiples sources. Cela reste une préoccupation majeure parce que beaucoup trouvent que la sécurité reste cantonnée à son propre silo, traitée souvent comme une réflexion après coup, comme le souligne Theresa Lanowitz, évangéliste en chef pour LevelBlue, un fournisseur de services de sécurité managés.
Trop souvent, les directeurs techniques, les directeurs informatiques et les équipes d'innovation n'intègrent pas la sécurité dès le début des projets, explique-t-elle. De plus, de nombreux Pdg, conseils d'administration et autres dirigeants ne considèrent pas encore la sécurité comme un moteur de l'activité ou comme un élément essentiel de l'activité. « La cybersécurité ne fait toujours pas partie de la structure de l'entreprise », dit la spécialiste.
Theresa Lanowitz constate toutefois des améliorations, car de plus en plus d'organisations adoptent des principes de conception sécurisée et des pratiques DevSecOps. Et de plus en plus de RSSI, en plaidant leur cause, obtiennent un statut égal à celui des autres dirigeants. « Nous constatons que de plus en plus d'organisations adoptent la sécurité dans une approche top-down et la considèrent comme une exigence business et non plus seulement comme un problème technique », souligne Theresa Lanowitz.
10) Atteindre l'excellence opérationnelle
Outre toutes les questions susceptibles de se poser d'une année sur l'autre, les RSSI disent continuer à se concentrer l'excellence opérationnelle des processus de sécurité - une tâche toujours difficile et complexe.
« Si les principes de base d'un programme de cybersécurité restent relativement constants, la protection des opérations et des données implique une veille constante sur les nouvelles technologies et menaces », explique Amanda Cody (Booz Allen Hamilton). « Les mises à jour en matière de cybersécurité doivent s'intégrer de manière transparente aux systèmes existants, ce qui nécessite une compréhension approfondie, au niveau opérationnel, des activités métiers que vous protégez et sécurisez. Les équipes de cybersécurité doivent avoir une longueur d'avance et ne pas se contenter de tenter de rattraper le temps perdu. »