La cybersécurité, porte d’entrée du CIO au Comex ?

Un article proposé par Astran dans le cadre de « What’s Next, CIO ? », l’observatoire DSI d’Alliancy. Tout au long de l’année, les partenaires de l’observatoire s’engagent à faire progresser l’écosystème du numérique par le partage de pratiques et la confrontation d’avis. Ils se mettent au service de la communauté des CIO pour leur permettre d’anticiper et d’incarner le changement dans leurs organisations.

Quelles que soient l’organisation et l’histoire d’une entreprise, son CIO a dorénavant un rôle majeur à jouer en matière de cybersécurité. De quoi l’aider dans ses interactions au sein du comité exécutif.

Le directeur des systèmes d’information ou chief information officer est devenu une pierre angulaire dans le fonctionnement des entreprises modernes. Face à l’accélération de la transformation digitale, son rôle a considérablement évolué. Après être passé de fournisseur de solutions et de supports informatiques à acteur majeur de la transformation digitale de l’entreprise, le CIO a maintenant l’opportunité de devenir le garant de la protection des atouts vitaux de l’entreprise et de la continuité d’activité des branches métiers. L’élargissement de la surface d’attaque cyber des entreprises a fait de la protection contre ces menaces un poste d’investissement inévitable pour les entreprises. Mais comment le CIO peut-il faire de cet aspect grandissant de son métier un tremplin vers le Comex, tout en se positionnant comme le partenaire privilégié des fonctions sécurité et risque ?

Attention, nous ne sommes pas forcément en train de dire que les fonctions cybersécurité doivent rendre compte au CIO. Cela dépend du secteur d’activité, de l’histoire et de l’organisation de chaque entreprise. Ici, ce que l’on dit, c’est que, quelle que soit l’organisation de l’entreprise, le CIO a un rôle majeur à jouer en matière de cybersécurité et de résilience face aux cyberattaques, ainsi qu’en tant qu’instigateur d’une culture d’agilité. Ce rôle, s’il s’en saisit pleinement, est, selon nous, de nature à accélérer son entrée au Comex en vue d’apporter un point de vue complémentaire à celui de la direction des risques.

En effet, le CIO a un super pouvoir : il s’est déjà saisi des questions de transformation digitale des métiers de son entreprise et sait donc déjà mener des projets transversaux et à fort impact en collaborant avec les directions métiers.

Trois sujets cyber clés pour le CIO

Par conséquent, selon nous, le CIO et son équipe font partie des acteurs les mieux placés pour faire avancer plusieurs sujets cyber très épineux.

Premier sujet : la continuité d’activité face aux cyberattaques. Il est estimé que ces dernières, selon une , vont coûter aux entreprises 10 500 milliards de dollars en 2025. Il est donc fort à parier que toute proposition d’amélioration de la cyber-résilience obtiendra l’oreille attentive des dirigeants de l’entreprise et sera discutée dans les plus hautes instances. Or, le CIO a déjà fait le lien avec les métiers sur les sujets digitaux. Doté des bons outils et en collaboration avec les fonctions de sécurité, il est donc parmi les mieux placés, pour solliciter les métiers afin de définir les processus les plus critiques à maintenir pendant une cyberattaque. Il en est de même ensuite, avec son équipe IT, pour délimiter les applications et les données sous-jacentes (et ce, avec toutes les dépendances techniques que le métier et les fonctions risque ne connaissent pas), et enfin pour proposer des solutions permettant de maintenir disponibles ces données et applications critiques.

Deuxième sujet, très lié : les tests de reprise après sinistre et de continuité d’activité ne peuvent pas se faire sans l’implication proactive des équipes IT. Les premiers, car les équipes infrastructure et IAM (identity access management), indispensables sur ces sujets, rendent compte au CIO. Les seconds car, si des outils complémentaires s’avèrent nécessaires pour assurer la continuité d’activité pendant une crise d’origine cyber, il reviendra généralement à des spécialistes sous la responsabilité du CIO de les déployer et d’y former les utilisateurs (toujours en collaboration avec les fonctions risque et sécurité, mais avec une légitimité technique incontestable sur ces sujets).

Troisième et dernier sujet : le CIO joue un rôle fondamental dans la sécurité des données critiques de l’entreprise, thème à la croisée des chemins entre les fonctions IT, celles sécurité et la compliance. La protection des données est un enjeu majeur, mais elle ne doit pas entraver le travail des équipes métiers. Les solutions de cybersécurité doivent être conçues pour soutenir, et non limiter, l’innovation et l’efficacité opérationnelle. Une collaboration efficace entre le département informatique et les autres départements est essentielle pour intégrer les exigences de sécurité dès le début des projets. Les nouvelles technologies, telles que l’intelligence artificielle ou l’IoT (Internet of things), créent des enjeux très stratégiques, mais également très techniques, nécessitant de combiner innovation et sécurité. Là encore, le CIO joue un rôle de pivot stratégique, se trouvant aussi bien au centre de l’innovation, avec sa casquette de transformation digitale, que de la sécurisation des données de l’entreprise. Et cela le rend très visible de la direction.

Les CIO ont aujourd’hui une opportunité unique de se positionner comme des leaders stratégiques au sein des entreprises. En faisant de la cybersécurité un pilier de leur mission, ils peuvent démontrer leur capacité à gérer des risques complexes, à assurer la continuité des activités, et à soutenir une innovation forte et durable à la fois. Ces compétences alliant transformation digitale et cybersécurité sont désormais essentielles pour le Comex, compte tenu de la combinaison de l’impact disruptif des nouvelles technologies sur tous les secteurs d’activité et de l’ampleur de la menace cyber. Alors, allez-vous relever le challenge ?

Un article proposé par Astran.