Les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont aujourd’hui soumis à une pression croissante, prise en étau entre des réglementations toujours plus strictes, des menaces cyber en constante évolution et des impératifs opérationnels exigeants. L’étude menée par Fastly en 2024 met en lumière ces défis et les réponses apportées par les entreprises.
Sur le plan réglementaire, les nouvelles exigences imposées par des organismes de régulation aux entreprises ont considérablement accru la responsabilité des organisations et, indirectement, celle des RSSI. Face à ces obligations renforcées, 93 % des entreprises ont modifié leurs politiques de cybersécurité au cours des douze derniers mois. Parmi elles, 38 % ont intensifié l’examen de leurs documents de divulgation de sécurité par des agences de supervision et 38 % ont renforcé le soutien juridique apporté aux équipes de cybersécurité, notamment via des assurances responsabilité.
Par ailleurs, 41 % des organisations ont intégré les RSSI dans les décisions stratégiques au niveau du conseil d’administration. Cependant, comme le souligne Marshall Erwin, RSSI de Fastly, ces ajustements visent avant tout à protéger juridiquement les entreprises plutôt qu’à améliorer réellement les pratiques de cybersécurité. Il plaide ainsi pour des normes plus claires, permettant de distinguer les incidents inévitables des défaillances
en matière de sécurité.
46 % ne savent pas qui est responsable en cas d’incident
Parallèlement, la pression sécuritaire continue de s’intensifier sous l’effet d’attaques toujours plus sophistiquées. Pourtant, 46 % des entreprises ne savent pas précisément qui porte la responsabilité ultime en cas d’incident, et seulement 36 % ont une définition claire des rôles et responsabilités au sein de leurs équipes de cybersécurité. Ce flou organisationnel constitue un risque majeur, car la cybersécurité ne peut reposer uniquement sur les épaules du RSSI : elle doit être une responsabilité partagée à tous les niveaux de l’entreprise. Une meilleure collaboration entre les équipes techniques et la direction est essentielle pour anticiper et répondre efficacement aux menaces.Enfin, les impératifs opérationnels viennent accentuer la complexité du rôle des RSSI. Bien que les entreprises investissent davantage dans la cybersécurité, les budgets alloués restent souvent insuffisants face à la montée en puissance des menaces. Le dilemme est donc de trouver un équilibre entre sécurité et performance tout en optimisant les ressources disponibles. Dans ce contexte, la question centrale que doivent se poser les conseils d’administration est la suivante : « Avons-nous aligné le budget et les ressources nécessaires face aux risques que le RSSI nous a présentés ? » Comme l’explique Marshall Erwin, la cybersécurité ne doit pas être réduite à une simple contrainte réglementaire, mais être intégrée comme un levier stratégique de résilience et de compétitivité.
En conclusion, l’étude met en évidence une transformation du rôle des RSSI, qui gagnent en influence, mais subissent une pression accrue. Pour répondre à ces défis, les entreprises doivent adopter une approche équilibrée, combinant des régulations plus claires, une responsabilité mieux partagée et un soutien accru en ressources. Plutôt que d’être perçues comme une contrainte, ces évolutions doivent être saisies comme une opportunité d’améliorer la posture de cybersécurité et de promouvoir un changement durable au sein des organisations.
