L’évolution d’un RSSI : comment le rôle a évolué
Dans de nombreuses entreprises, le responsable de la sécurité des systèmes d’information (RSSI) se concentre principalement, et parfois exclusivement, sur la cybersécurité. Cependant, avec les menaces sophistiquées d’aujourd’hui et l’évolution de l’environnement des menaces, les entreprises font évoluer les responsabilités de nombreux rôles, et l’élargissement du poste du RSSI est à l’avant-garde de ces changements. Selon Gartner, la pression réglementaire et l’expansion de la surface d’attaque feront que 45 % des missions des RSSI s’étendront au-delà de la cybersécurité d’ici 2027.
Alors que l’étendue des responsabilités d’un RSSI évolue si rapidement, comment son rôle s’adaptera-t-il pour relever les défis informatiques de demain ?
Newsletter Think
Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Steve Katz est devenu le premier RSSI du monde lorsqu’il a pris ses fonctions chez Citicorp/Citigroup en 1995. Dès le début de son parcours de RSSI, M. Katz s’est rendu compte que ce poste n’était pas seulement une fonction informatique, mais qu’il s’agissait de servir l’entreprise en réduisant les risques. Les années suivantes, d’autres organisations ont ajouté ce nouveau poste, le RSSI étant rattaché au DSI dans la plupart des structures organisationnelles. Si de nombreux RSSI reconnaissaient la véritable nature de leur poste, le reste de leur entreprise n’était souvent pas sur la même longueur d’onde.
Avec le temps, les RSSI se sont retrouvés à gérer des problématiques extérieures à leur entreprise, comme la mise en place de partenariats, la collaboration avec les fournisseurs et la gestion des transmissions de données externes. Cependant, de nombreuses organisations estimaient que ce poste restait essentiellement du ressort des services informatiques, avec pour principale responsabilité d’éviter que l’entreprise ne fasse la une des journaux en raison d’une violation ou d’une attaque majeure en matière de cybersécurité. Cela signifie que de nombreux RSSI se sont principalement concentrés sur la conformité et la gestion des risques.
Ces dernières années, le rôle du RSSI a changé de manière significative face à la multiplication des cyberattaques et aux risques croissants d’interruption des activités, d’amendes et d’atteinte à la réputation. Selon le rapport CISO de Splunk, 86 % des personnes interrogées déclarent que le rôle a tellement changé depuis qu’elles sont devenues RSSI qu’il s’agit presque d’un autre travail. Le rôle est passé d’une fonction principalement technique à celle d’un dirigeant d’entreprise.
Au lieu de mettre en œuvre la cybersécurité, les RSSI se concentrent désormais sur le fait d’aider les dirigeants de l’entreprise à comprendre l’importance de la cybersécurité et à mener la réflexion stratégique pour la stratégie de cybersécurité de l’entreprise. Les RSSI comblent le fossé entre le langage technique qui vient facilement au service informatique et le langage des affaires de la haute direction.
Ce changement a également entraîné une refonte de la structure organisationnelle, 47 % des RSSI rendant désormais directement compte à leur PDG, selon le rapport Splunk. En rattachant le RSSI au PDG plutôt qu’au DSI, l’organisation illustre à quel point la cybersécurité est une priorité clé. De plus, les RSSI ont désormais une influence accrue en siégeant à la direction et, souvent, au conseil d’administration.
Les experts en cybersécurité se demandent si le rôle du RSSI doit se concentrer sur les activités ou la technologie. À mesure que nous avançons, la réponse se situera résolument au milieu. Plus que jamais, les RSSI d’aujourd’hui doivent posséder un mélange rare de compétences techniques et de sens des affaires pour réussir véritablement dans leur rôle.
Au lieu de simplement aider l’entreprise à parler un langage commun en matière de cybersécurité et de risque, le RSSI jouera un rôle de leadership plus important, en assumant la stratégie de cybersécurité pour toute l’entreprise. Grâce à cette visibilité et à ces responsabilités accrues, les autres employés se rendront également compte de l’importance de la cybersécurité dans les entreprises.
En tant que l’un des postes de direction les plus récents, n’existant que depuis quelques décennies, le RSSI a considérablement évolué depuis que Katz a fait l’actualité. Les menaces étant de plus en plus sophistiquées et les entreprises de plus en plus numérisées, les perturbations causées par les attaques de cybersécurité touchent souvent tous les aspects de l’activité d’une entreprise. Les entreprises qui prennent conscience de l’importance accrue de la cybersécurité et font évoluer le rôle de RSSI peuvent créer une culture dans laquelle chaque employé et chaque dirigeant considère la cybersécurité comme faisant partie de son travail.