La récente étude Cybersecurity considerations 2024 de KPMG indique que le rôle du RSSI est de plus en plus considéré comme un partenaire proactif dans la gestion des besoins permanents de l'entreprise plutôt que comme un simple sauveur en temps de crise.
Avec la généralisation de la numérisation et de l’exploitation des données, les RSSI ne se limitent plus aux fonctions support du back-office, et sont désormais sollicités à un niveau de discussion et de prise de décision bien plus élevé. Ils ont ainsi un rôle clé à jouer aux côtés des équipes dirigeantes pour contribuer à formuler des solutions de croissance et d’innovation indispensables à la poursuite des objectifs de l’entreprise. Toutefois, les équipes de direction peuvent être freinées dans leur intégration aux décisions suite à des rapports au risque incompatibles. Ainsi, comment les RSSI peuvent-ils changer ces attitudes et s’imposer comme des acteurs indispensables à la réussite économique
des entreprises ?
Faire le lien entre la cybersécurité et les objectifs clés
Les entreprises modernes misant énormément sur leurs données, les RSSI jouent un rôle essentiel pour en assurer le bon fonctionnement. Mais comment apporter la preuve d’une valeur qui n’est pas directement liée à la génération de revenus ? Il suffit d’inverser la question pour que la réponse devienne évidente : quelle entreprise peut générer des revenus réguliers si elle est paralysée par des risques incontrôlés ?Les RSSI doivent donc nouer le dialogue avec tous les départements de leur entreprise pour identifier les priorités de chacun et comprendre comment mettre les politiques de sécurité au service de ces priorités. Il est essentiel de gérer les risques, bien sûr, mais il n’est pas moins important de faciliter les processus. En établissant des liens entre les différents départements, les RSSI peuvent passer d’un rôle entièrement défensif à un rôle plus proactif et plus souple.
Miser sur des stratégies fiables plutôt que sur des tactiques
Lorsqu’ils discutent des objectifs de l’entreprise avec l’équipe de direction ou le conseil d’administration, les RSSI peuvent s’engager dans des conversations de niveau tactique plutôt que stratégique. L’approche zero trust est la dernière tendance en vogue chez les décideurs qui n’ont pas d’expertise technique et qui sollicitent les RSSI sur ce modèle lorsqu’ils souhaitent s’impliquer dans la cybersécurité de leur entreprise.C’est un excellent point de départ, une approche zero trust peut en effet contribuer à trouver de meilleurs compromis en cas de priorités divergentes et elle permettra à l’entreprise d’atteindre des objectifs clés en lien avec l’accélération de ses processus et de sa capacité d’innovation.
Cependant, pour bénéficier de ses avantages et valoriser le rôle du RSSI auprès des autres membres de l’équipe de direction, les décisions ne devraient pas porter uniquement sur la technologie et les pratiques, ni même sur des outils spécifiques. Les enjeux de simplification des processus et de réduction des risques commerciaux devraient
également être abordés.
Le paradoxe zero trust
Il existe une contradiction inhérente à l’approche zero trust du point de vue d’un RSSI. Comme elle suppose la mise en œuvre de davantage de contrôle, il peut être contre-intuitif que cette approche puisse accroître la flexibilité et la rapidité d’une entreprise. Mais en réalité, un RSSI moderne et efficace est justement celui qui permet aux autres membres de l’équipe de direction d’être plus audacieux, de prendre des risques et d’innover, tout en veillant à la protection de l’atout le plus précieux de leur entreprise : les données.Ainsi, le rôle du RSSI a fondamentalement changé, mais beaucoup d’équipes de direction et conseils d’administration tardent à en prendre la mesure. Pour être pleinement reconnus, les RSSI doivent donc être capables de définir et de communiquer les façons dont ils peuvent être aux utiles autres dirigeants, qu’il s’agisse de se conformer aux exigences réglementaires, de réaliser des gains d’efficacité ou de générer de nouveaux revenus.
Par James Robinson, RSSI chez Netskope