De nombreux métiers dans l’entreprise sont transformés par l’évolution des technologies et leur périmètre de compétence augmentés par de nouveaux outils d’automatisation et des assistants basés sur l’IA/ML. Dans ce contexte de transformation continue, les RSSI doivent suivre, voire anticiper, l’évolution des technologies et des usages afin de contrôler l’impact des nouveaux risques sur les systèmes informatiques. Le rôle du RSSI est de fait en mutation constante, obligeant les responsables de la sécurité des systèmes d’information à établir des plans de prévention des risques informatiques et de continuité de l’activité (PCA) qui tiennent compte des nouveaux risques.
D’après une étude réalisée par Salt Security auprès des responsables de la sécurité des systèmes d’information, 89 % des répondants indiquent que le déploiement rapide des services numériques a entraîné des risques inattendus pour la protection des données critiques. Ils sont près de 90 % à déclarer que l’adoption rapide de la transformation numérique a rendu plus difficile la sécurisation des données critiques de leur entreprise et de leurs clients. Pour 94 % des RSSI dans le monde, le fautif est évident : l’adoption très rapide de l’IA est le facteur qui a le plus d’impact sur leur rôle.
Ballotés entre la pénurie de professionnels qualifiés…
Le rapport 2023 met en lumière le fait que l’orientation vers une économie numérique impose aux RSSI une série de défis qui s’additionnent. Étonnamment, tous ces défis engendrent le même niveau de préoccupation parmi les RSSI, qui sont désormais amenés à faire face à plusieurs enjeux simultanément. Parmi les principaux défis identifiés par les RSSI, l’étude cite la pénurie de professionnels qualifiés en cybersécurité, aptes à gérer les nouveaux besoins pour 40 % des répondants. L’insuffisance du taux d’adoption des logiciels est également un obstacle majeur, cité par 36 % des RSSI.La complexité des environnements technologiques distribués préoccupe 35 % des répondants, tout comme le durcissement des exigences réglementaires. D’autre part, 34 % des répondants trouvent difficile de justifier le coût des investissements de sécurité. Enfin, le défi d’obtenir l’adhésion des parties prenantes aux initiatives de sécurité a été mentionné par 31 % des RSSI.
… et des budgets insuffisants
D’autres éléments notables ressortent du rapport. Notamment, 44 % des responsables de la sécurité des systèmes d’information rapportent que les budgets alloués à la sécurité ont connu une hausse d’environ 25 % au cours des deux dernières années. Cependant, un tiers de ces professionnels (30 %) identifient un budget insuffisant comme un frein majeur pour faire face aux nouveaux enjeux de sécurité. Par ailleurs, 34 % des répondants déclarent avoir du mal à justifier le coût des investissements en sécurité.Les données révèlent que, pour 82 % des RSSI, le budget de sécurité est plus conséquent qu’il y a deux ans, tandis que 87 % affirment que le chiffre d’affaires de leur entreprise a progressé. Cette disparité indique que le pouvoir d’achat des RSSI, exprimé en pourcentage du chiffre d’affaires, a en réalité régressé durant les deux années qui viennent de s’écouler.
Dans ce schéma informatique de plus en plus complexe, les API jouent le rôle d’un réseau de liens qui ajoutent une couche de complexité supplémentaire, et qui nécessitent des mesures de sécurité spécifiques. Elles sont en effet omniprésentes dans toutes les applications numériques modernes, y compris les services tiers et les applications cloud. Pour 89 % des RSSI, le déploiement rapide des services numériques engendre des risques inattendus pour la protection des données de leur entreprise. Dans cette affirmation, le risque « inattendu » est par extension imprévisible, donc difficile à contrer.
Ils craignent d’engager leur responsabilité personnelle
En établissant la liste des failles de sécurité identifiées, les RSSI placent les API en seconde position (37 %), immédiatement après les risques liés à la chaîne d’approvisionnement et aux fournisseurs tiers (38 %) ; viennent ensuite l’adoption du cloud (35 %), la mauvaise gestion des vulnérabilités (34 %), les logiciels et matériels périmés (33 %) et le shadow IT (32 %). Parmiles causes de ce manquement, la plupart des entreprises ne possèdent pas un inventaire complet de leurs API.Parmi les conséquences, ils craignent d’être personnellement affectés par des litiges résultant de violations de données, un sentiment partagé par 48 % des RSSI. Cela représente presque la moitié des professionnels de ce secteur, indiquant une préoccupation majeure qui ajoute une pression supplémentaire à celles déjà à l’œuvre. La tenue de procès, de surcroît médiatisés, contre leurs homologues a semé la peur chez les RSSI. Ils craignent que leur responsabilité personnelle ne soit engagée en cas de violation de données, avec le risque conséquent de perdre leur emploi.
Pire encore, le risque de la responsabilité personnelle est aggravé par des facteurs qui découlent de l’importance de leur rôle dans la protection des données. Le manque de temps pour accomplir efficacement toutes les tâches nécessaires est devenu un obstacle majeur pour eux : 43 % des RSSI se sentent débordés par la multiplication des responsabilités.
Conséquence, l’accroissement du stress professionnel est un problème mentionné par 38 % des RSSI. Cette tension accrue peut être attribuée à la nécessité d’adapter les réponses dans un environnement de plus en plus complexe et à la vitesse de transformation de l’économie du numérique.