La crise du COVID-19, conjuguée à une introduction accélérée des nouvelles technologies et à la complexification du paysage réglementaire, met à rude épreuve les directions sécurité, les obligeant à être sur tous les fronts en même temps.
Associé, EY Consulting, Cyber leader, WEM, France
Rapport GISS 2021 – Version française
Chapitre 1
Les RSSI à la croisée des chemins
Une étape marquée par la pression, le changement et les opportunités
Consultation des équipes cybersécurité
56%des répondants admettent que les équipes cybersécurité ne sont pas consultées, ou le sont trop tard, lorsque la direction prend des décisions stratégiques urgentes.
Au cours de l'année écoulée, dans des délais qui auraient été jugés impossibles il y a encore peu de temps, les entreprises progressistes ont déployé de nouvelles technologies. Elles ont également mis en place des outils basés sur l’informatique en nuage (cloud computing) pour travailler à distance et assurer ainsi la continuité d’activité.
Mais la rapidité du changement a eu un prix élevé. De nombreuses entreprises n'ont pas pris en compte la cybersécurité dans le processus de prise de décision, que ce soit par négligence ou par empressement. En conséquence, de nouvelles vulnérabilités sont apparues dans un environnement qui évoluait déjà rapidement et continuent de menacer l'entreprise aujourd'hui.
Focus France : 82% des entreprises françaises ont constaté une augmentation du nombre d'attaques.
La plupart des répondants (56 %) admettent que les équipes cybersécurité ne sont pas consultées, ou le sont trop tard, lorsque la direction prend des décisions stratégiques urgentes. Si certains affirment que cela ne se produit "pas très souvent", il suffit d'une seule fois pour qu'une faille dans les défenses soit exploitée par des cyberattaquants.
Les RSSI qui parviennent à atténuer les risques, tout en permettant la croissance et les ambitions technologiques de leur entreprise, ont un bel avenir devant eux. Les RSSI sont-ils donc prêts à saisir l'opportunité d'un nouveau rôle de soutien à la croissance ? Peuvent-ils intégrer la résilience avant la prochaine perturbation majeure de l'activité ? La réponse doit être oui, mais seulement s'ils peuvent d'abord relever trois défis critiques et interdépendants qui leur barrent la route :
- L’organisation est sévèrement sous-financée
- La fragmentation de la réglementation est un casse-tête
- Les relations de la cybersécurité avec les autres fonctions se détériorent
Chapitre 2
Trois défis qui freinent les RSSI
La cybersécurité en pleine tempête
1. De nos jours, la mise en place d’une organisation de cybersécurité est sévèrement sous-financée
L'un des problèmes concerne la manière dont le budget est planifié et alloué. Environ six personnes interrogées sur dix (61 %) déclarent que leur budget de sécurité fait partie d'une dépense plus importante de l'entreprise, comme l'informatique, et 19 % indiquent que ce budget est fixe et défini de manière cyclique.
Très peu d'organisations définissent leurs budgets de sécurité comme un coût variable et contingent de leur activité. En effet, les RSSI peuvent avoir du mal à évaluer les efforts nécessaires dans un contexte où les initiatives du marché sont spécifiques et évoluent rapidement.
Focus France : seulement 18% des entreprises françaises partagent le coût de la cybersécurité à l'échelle de l'entreprise.
Une minorité d'organisations adopte toutefois une approche plus stratégique du financement de la cybersécurité : fondée sur le risque.
2. La fragmentation de la réglementation est un casse-tête croissant pour les RSSI
Pour les organisations internationales, les exigences issues des réglementations peuvent devenir un vrai challenge, d'autant qu'elles disposent de systèmes parfois répartis sur plusieurs plaques continentales.
Associé, Consulting, Cyber, France
L'environnement mondial de conformité devient de plus en plus complexe, avec des juridictions opérant aux niveaux régional et national dans le monde entier. Les entreprises de certains secteurs doivent gérer des réglementations spécifiques.
Si les cadres supérieurs sont peut-être devenus plus sensibles aux analyses de rentabilité qui associent l'augmentation des dépenses de cybersécurité à la transformation, ils semblent moins attentifs qu'ils ne l'étaient aux avertissements des RSSI concernant la charge croissante de la conformité.
3. Les relations de la cybersécurité avec les autres fonctions se détériorent
Pour gérer le risque cyber lié à la transformation stratégique, les RSSI doivent fournir des conseils dès les premières étapes de la prise de décision en matière d'investissement. Mais les relations entre la cybersécurité et les autres fonctions de l'entreprise, qui sont essentielles pour que ces consultations aient lieu, manquent de positivité et de force.
Focus France : seulement 20% des organisations françaises incluent la cybersécurité dans la phase de planification d'un programme de transformation numérique.
Fondamentalement, les relations deviennent plus positives pour le RSSI à mesure qu'il s'éloigne du cycle de planification, ce qui est un problème. Là où la cyber devrait être la plus impliquée pour soutenir la croissance, elle n'est pas invitée à la fête.
Chapitre 3
Les prochaines étapes pour le RSSI
Le RSSI comme créateur de valeur
Comment les RSSI doivent-ils répondre aux principaux défis décrits dans l’enquête GISS de cette année ? Il ne fait aucun doute qu'ils doivent jouer un rôle plus stratégique et commercial au sein de leur organisation, en réinventant leurs équipes pour en faire des facilitateurs de la transformation.
Les résultats de l’enquête suggèrent que les RSSI devraient envisager trois actions fondamentales pour renforcer leur position au sein de l'entreprise.
1. Revenir à la “réalité du terrain » - réévaluer l’alignement avec l’entreprise
Les équipes de cybersécurité sont habituellement plus fortes lorsqu'il s'agit d'évaluer leurs capacités, d'identifier les risques et d'élaborer des feuilles de route pour l'avenir.
2. Revoir le profil des talents – mais ne pas attendre l’impossible
Pour répondre aux défis organisationnels mis en évidence par l'enquête, ainsi qu'à la nature sophistiquée des récentes attaques très médiatisées, les RSSI ont besoin du soutien de professionnels polyvalents.
Profil d’un cadre en cybersécurité |
Domaine de spécialité |
Forces |
Faiblesses |
Expert sécurité | Tout ce qui concerne la sécurité | Expertise approfondie | Manque de sens des affaires |
Défenseur de la technologie | Outils et solutions technologiques | Orienté technologies | Façon de raisonner silotée |
Expert risque et réglementation | Risques, contrôles et conformité | Bon pour les secteurs hautement réglementés | Manque d’acuité technologique |
Plan de développement | Intégration des entreprises | Connectivité des entreprises | Manque de connaissances en matière de technologie et de sécurité |
Travailleurs à temps partiel | Séparation entre cybersécurité et autres rôles principaux | Economie de coûts | Bon à tout faire |
3. Naviguer sur tous les fronts – une nouvelle boussole de parties prenantes
Les RSSI connaissent bien le principe du "shifting left", qui consiste à impliquer la cybersécurité plus tôt dans le cycle de transformation et de développement des produits.
Les défis liés à la COVID-19 indiquent toutefois qu‘aller seulement vers la gauche n'est plus suffisant. Il est suggéré aux RSSI de se déplacer vers le nord, l'est, le sud et l'ouest. En pratique, cela signifie qu'il faut naviguer entre quatre groupes de parties prenantes clés.
Rapport GISS 2021 – Version française
Ce qu'il faut retenir
La fonction de cybersécurité peut devenir un catalyseur essentiel de la croissance. Elle doit d'abord s'attaquer aux insuffisances budgétaires, surmonter la complexité de la réglementation et améliorer ses relations avec les autres fonctions de l'entreprise.