L’année record d’attaques cyber qui vient de s’écouler a mis le rôle de RSSI au premier plan.
Pour atteindre leurs objectifs principaux de protection et de maintien en activité des systèmes d’information, les RSSI se sont vu confier un large éventail de responsabilités, allant de la réponse aux attaques, à la confidentialité des données et à la conformité. Il est désormais courant de voir des RSSI chargés de pratiquement toutes les facettes de la stratégie de gestion des risques liés à l’informatique d’une organisation. Après une année éprouvante pour les équipes de sécurité, il apparaît que le modèle de travail à distance rendu nécessaire a plus que jamais mis les RSSI à l’épreuve.
Dans un rapport d’enquête (2021 Voice of the CISO Report) réalisé par Proofpoint, il apparaît que 78 % des RSSI français estiment que leur organisation n’est pas préparée à faire face à une cyberattaque ciblée. Un résultat bien au-dessus de la moyenne mondiale, établie à 66 %. De fait, la préparation aux cybermenaces reste une préoccupation majeure : plus d’un an après le début d’une pandémie qui a changé à jamais le paysage des menaces. De plus, le cyber risque s’accroît : 45 % des RSSI français sont plus préoccupés par les répercussions d’une cyberattaque en 2021 qu’ils ne l’étaient en 2020.
Des attentes excessives…
Conséquence : les RSSI sont en état d’alerte. Dans un paysage incertain, 68 % des RSSI français estiment qu’ils risquent de subir une cyberattaque importante au cours des 12 prochains mois. Un RSSI français sur deux (50 %) s’attend à être confronté à une compromission de comptes, une crainte plus élevée que dans toutes les autres régions. Viennent ensuite les attaques par compromission des emails professionnels (42 %), les menaces internes (41 %), attaques sur la chaine logistique (37 %) et les rançongiciels (31 %).
Les craintes véhiculées par les attaques de l’année 2020 ont élevé le rôle du RSSI au rang des combattants de première ligne. Il a aussi rehaussé les attentes de l’entreprise : 61 % des RSSI français s’accordent pour dire que les attentes envers leur fonction sont excessives. La perception d’un manque de soutien de la part du comité de direction persiste : seuls 20 % des RSSI français sont tout à fait d’accord pour dire que leur hiérarchie est en phase avec eux sur les questions de cybersécurité.
Les attentes, et l’opinion sur le caractère raisonnable de ces attentes, dépendent de la taille de l’entreprise. Plus l’entreprise est grande, plus les attentes sont élevées. Dans les organisations comptant entre 500 et 1 000 employés, un peu plus de la moitié d’entre eux reconnaissent que les attentes à leur égard et à l’égard de leur équipe sont excessives. Ce chiffre passe à 66 % dans les entreprises de plus de 5 000 salariés. Dans les secteurs verticaux, ce sont les RSSI des entreprises technologiques (71 %) qui ressentent le plus la pression des attentes excessives.
…et pas de soutien de la direction
L’étude révèle que plus l’entreprise est grande, plus les attentes sont élevées. Dans les organisations comptant entre 500 et 1 000 employés, un peu plus de la moitié des RSSI reconnaissent que les attentes à leur égard et à l’égard de leur équipe sont excessives. Ce chiffre passe à 66 % dans les entreprises de plus de 5 000 salariés. Dans les secteurs verticaux, ce sont les RSSI des entreprises technologiques (71 %) qui ressentent le plus la pression des attentes excessives.
Le manque de soutien de la part du conseil d’administration vient s’ajouter à la charge de travail exigeante et souvent ingrate du RSSI. Moins de deux tiers des RSSI dans le monde reconnaissent avoir une vision commune avec le conseil d’administration sur les questions de cybersécurité. « Le résultat de cette déconnexion apparente entre les RSSI et le reste de la direction est que beaucoup d’entre eux se sentent incapables de donner le meilleur d’eux-mêmes, conclut le rapport. Près de la moitié des RSSI du monde entier ne pensent pas que leur organisation leur donne les moyens de réussir. Plus alarmant encore, 24 % sont tout à fait d’accord avec cette affirmation ».