Pendant des décennies, le budget alloué à la cybersécurité était le principal curseur de la stratégie du RSSI, promettant au conseil d'administration une protection infaillible grâce à des effectifs et des investissements accrus. Cependant, l'ère des ransomwares a contraint à réévaluer ce paradigme. Au-delà de la simple exfiltration de données, les entreprises sont désormais confrontées à des paralysies complètes, parfois de plusieurs jours, menaçant non seulement l'intégrité de leurs données mais aussi leurs résultats financiers.
La pression sur les RSSI s'est intensifiée. Observer les plus grandes entreprises succomber aux ravages d'une attaque par ransomware a rendu difficile la justification d'investissements dans des outils qui, parfois, ajoutaient des frictions à la gestion des incidents, réduisant l'agilité et augmentant même le risque résiduel.
Pour apaiser ces tensions et gérer efficacement les risques, les RSSI ont dû changer leur fusil d’épaule. Investir dans la cyber-résilience et la capacité de restauration des données est devenu une priorité absolue. Cette nouvelle orientation a permis d'engager une conversation plus réaliste avec la direction, démontrant une meilleure maîtrise du risque et de véritables capacités de survie en cas d'attaque avérée.
Mais cette approche est-elle suffisante ? Quelles sont les responsabilités réelles des RSSI en 2025 ? S'il est crucial de se concentrer sur les conséquences d'une intrusion réussie et sur la manière de les contenir rapidement et efficacement, il est également impératif d'étendre cette responsabilité à l'ensemble des collaborateurs.
Le facteur humain : transformer le "ce n’est pas mon problème" en responsabilité partagée
Aujourd'hui, aucune organisation n'est à l'abri des cyberattaques. En cas d'incident avéré, il existe toujours un risque de défaillance complète des services informatiques. Prévenir ce risque exige une transparence accrue pour, d'une part, établir une réponse claire aux questions les plus sensibles (disponibilité des données, restauration, analyse) et, d'autre part, formaliser ces éléments dans un plan de réponse précis, explicable et accessible à tous.Aujourd’hui, le principal défi pour les RSSI réside dans la compréhension et l'explicabilité des conséquences potentielles d'une attaque sur les données et l'entreprise. Si certains départements, comme la DSI et les équipes d'infrastructure, sont déjà expérimentés dans la gestion des incidents, les RSSI peuvent tirer parti de cette expérience pour souligner les interdépendances entre les services et les infrastructures, et expliquer comment une attaque par ransomware peut impacter l'ensemble. Cette collaboration est essentielle pour comprendre la valeur des données et des actifs.
Pour certaines entreprises, cette mise en œuvre doit s'accompagner d'un changement, potentiellement radical, de la culture d'entreprise. La collaboration doit dépasser le cadre fermé des équipes techniques pour garantir une réponse collective en cas d'attaque. Une récente étude révèle d'ailleurs une vulnérabilité critique : le syndrome de la « patate chaude » ou déni de responsabilité parmi les employés. En France, plus de la moitié (51,2%) des employés interrogés ne se sentent pas confiants dans leur capacité à identifier une cyberattaque malveillante, et près d'un cinquième (18,5%) déclarent que la raison principale de ne pas signaler un incident est que "ce n'est pas leur problème". Ces chiffres alarmants soulignent l'urgence de sensibiliser et d'impliquer chaque individu, transformant la passivité en engagement actif.
L’heure zéro : anticiper l’impensable pour mieux réagir
Les attaques par ransomware se distinguent par leur impact systémique. Dans une situation où les outils de sécurité sont compromis ou les données chiffrées, un RSSI peut se retrouver dans l'incapacité d'initier une réponse. La communication externe (direction, autorités, assureurs, presse, régulateurs) serait gravement entravée par l'indisponibilité des systèmes de messagerie ou de VoIP. L'accès physique aux locaux pourrait même être compromis si les contrôles d'accès sont hors service. Sans parler de la question du paiement d'une rançon.Cette "heure zéro" est un point de départ crucial de tout plan de contingence. La disponibilité des outils d'urgence et de réponse, ainsi que des données systèmes et de production, peut être garantie par la mise en place de "cleanrooms" isolées. Elles permettent, en cas d'attaque, d'activer une opération d'urgence sur l'ensemble du système informatique.
Les environnements de production peuvent ensuite être restaurés, étape par étape, en étroite coordination avec les équipes d'infrastructure. Pour ce faire, une compréhension partagée entre RSSI et DSI est encore une fois impérative. Cette maturité s'acquiert par des discussions régulières entre les équipes et en suivant des cadres de contrôle préétablis, tels que le NIST, pour structurer et automatiser ces processus. Ils soulignent également l'importance de principes de sécurité fondamentaux, comme le moindre privilège, la séparation des tâches et l'authentification, dont l'implémentation conjointe par les deux équipes est essentielle pour élever le niveau de sécurité global de l'IT.
Un incident cyber ne constitue pas l'échec d'une stratégie de sécurité, mais une réalité inhérente aux risques opérationnels, au même titre qu'un sinistre physique. Pour s'y préparer, il est impératif de passer d'une posture défensive à une approche opérationnelle et collaborative.
L'investissement prioritaire du RSSI ne porte plus uniquement sur les outils de sécurité, mais sur des projets collaboratifs avec les équipes d'infrastructure. S'il est certain qu'une défense finira par être compromise, l'incertitude réside encore dans la capacité de toute une organisation à gérer conjointement, de la détection à la restauration, cet incident. Le rôle du RSSI est désormais de transformer la cybersécurité en une question de survie collective, où chaque employé devient un maillon essentiel de la chaîne de résilience.
Par James Blake, directeur de la stratégie de cyber résilience EMEA chez Cohesity
