Pour les responsables de la sécurité des systèmes d’information, il va de soi que la cybersécurité est une priorité, mais tout leur enjeu reste de convaincre habilement le reste de l’organisation. Or, le rapport au risque a bien changé chez les spécialistes. De quoi justifier le rôle proactif adopté par les RSSI ces dernières années pour échanger avec les dirigeants.
Contrairement à leur image austère d’expert de la cybersécurité, seulement 7 % des RSSI déclarent n’avoir qu’une faible appétence pour le risque. C’est ce qui ressort d’une étude menée par Netskope, éditeur de solution SASE (Secure Access Service Edge), réalisée auprès de 1000 RSSI au niveau mondial. En France, ces derniers identifient plusieurs facteurs qui justifient cette appétence grandissante au risque, notamment les avancées technologiques et les solutions de sécurité (81 %), un meilleur accès aux données et aux analyses (80 %), et l’adoption d’une approche zero-trust (79 %). « L’étude montre clairement que les RSSI sont désireux de jouer un rôle plus proactif qui favorise l’innovation tout en protégeant l’entreprise », commente James Robinson, RSSI chez Netskope.
Mais le rôle du patron de la sécurité des systèmes d’information dépend également de sa relation avec les dirigeants d’entreprise, pour lesquels les intérêts pour la sécurité divergent bien plus. Selon l’étude de Netskope, un tiers (33 %) des RSSI dans le monde estiment que leur PDG est beaucoup plus réticent au risque qu’eux-mêmes, tandis que la même proportion (32 %) observe de manière générale une faible appétence pour le risque de la part de leur patron. En France, cette réticence est toutefois légèrement inférieure, à 28 %.
Une profession de RSSI en mutation
La cybersécurité s’invite quoiqu’il en soit au sommet des entreprises, particulièrement en France. Dans l’Hexagone, 40 % des RSSI déclarent que les risques liés à la cybersécurité sont ceux qui créent le plus de tensions et de défis auprès des dirigeants. Ce chiffre est plus élevé comparé à d’autres régions comme le Japon (36 %), l’Amérique du Nord (31 %), l’Allemagne (30 %) et le Royaume-Uni (26 %). Une situation qui pousse les RSSI à être toujours plus proactif et à mener un dialogue constructif et pédagogique avec leurs dirigeants.
Ce sont d’ailleurs 71 % des sondés en France qui observent ce changement de posture dans leur profession, loin derrière le Japon (89 %) mais devant l’Amérique du Nord (59 %), le Royaume-Uni (53 %) et l’Allemagne (52 %). « La meilleure façon de faire des RSSI des partenaires proactifs est d’acquérir une compréhension approfondie des défis commerciaux et de les aligner sur les stratégies de sécurité, plutôt que d’imposer une stratégie de sécurité », souligne James Robinson, RSSI chez Netskope. « Les technologies commerciales et les cybermenaces évoluent plus rapidement que jamais. Il est encourageant de constater que les RSSI adoptent une réflexion plus progressiste », ajoute Steve Riley, Field CTO chez Netskope. Les cycles de technologies de plus en plus rapide jouent en effet un rôle clé, en stimulant souvent l’esprit d’innovation dans les organisations. En franchissant le pas, le RSSI peut faire mentir l’adage qui veut que la préoccupation cyber ne servent qu’à dire “non” aux nouvelles idées.