La nature cloisonnée de la sécurité informatique devient un risque et un handicap pour l’entreprise distribuée. La mutation de la cybersécurité entamée par la transformation numérique et accélérée par la crise devrait propulser la fonction de sécurité au rang de fonction transversale de l’entreprise.
Dans le sillage d’une année record en termes d’attaques cyber et de changements organisationnels sans précédent dans les entreprises, la cybersécurité subit elle aussi un repositionnement dans les organigrammes. Jadis intégrée dans la partie technologique de l’entreprise, la sécurité informatique, ancêtre pas si lointain de la cybersécurité, est encore bien souvent traitée comme un sujet purement technique. Avec l’arrivée des RSSI et la transformation numérique, sa fonction s’est étoffée avec le développement de normes et de méthodes définies par des politiques de sécurité de l’information.
Bien souvent considérée comme une spécialité technique et rattachée à la DSI ou du ressort de la DSI dans les petites et moyennes structures, la responsabilité de la sécurité des systèmes informatiques, a été plus rarement rattaché à la direction générale, et encore moins à la direction financière. Dans certains cas, avec l’avènement de plan de reprise et de la gestion du risque, elle a travaillé avec d’autres services comme les métiers ou la communication. Depuis quelques mois et suite aux attaques retentissantes et graves qui ont eu lieu, les directions semblent vouloir aller plus loin. Ce n'est pas nouveau, car les enjeux liés à la cybersécurité ont depuis longtemps pulvérisé les frontières purement technologiques dans lesquelles elle était isolée. Après une année de crise sanitaire et de "faits-cyber" dramatiques, les directions semblent avoir adopté le principe stipulant que « la cybersécurité est un sujet trop grave pour être laissé aux seuls services informatiques ».
Décloisonner la fonction cybersécurité…
D’après un rapport d’enquête du Gartner auprès d’administrateurs d’entreprises, ceux-ci classent la cybersécurité au deuxième rang des sources de risque en 2021, et juste derrière vient la conformité. D’ici 2025, 40 % des conseils d’administration auront un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil, contre moins de 10 % aujourd’hui, selon Gartner.
« Pour s’assurer que le risque cyber reçoit l’attention qu’il mérite, de nombreux conseils d’administration forment des comités spécialisés qui permettent de discuter des questions de cybersécurité dans un environnement confidentiel, sous la direction d’une personne jugée suffisamment qualifiée, a déclaré Sam Olyaei, directeur de recherche au Gartner. Ce changement de gouvernance et de contrôle est susceptible d’avoir un impact sur la relation entre les conseils d’administration et les responsables de la sécurité des systèmes d’information ».
C’est l’un des nombreux changements organisationnels auquel s’attend le Gartner au niveau des conseils d’administration, de la direction et de l’équipe de sécurité. En réponse au risque accru créé par l’empreinte numérique étendue des organisations pendant la pandémie, l’entreprise distribuée avec ses télétravailleurs, ses chaînes d’approvisionnement et son infrastructure réseau et applicative hybride a besoin de redéfinir le périmètre des responsabilités liées à la cybersécurité.
… pour en faire un service transversal
Ce n’est pas un mal estime le Gartner, car le décloisonnement de ce service qui est par nature transversal devrait se concrétiser par une meilleure collaboration avec les métiers. Gartner prévoit que d’ici 2024, 60 % des RSSI établiront des partenariats essentiels avec des dirigeants clés dans les domaines de la vente, de la finance et du marketing, contre moins de 20 % aujourd’hui.
D’un autre côté, même si les RSSI devraient faire l’objet d’une « attention »plus approfondie, ils sont également susceptibles de recevoir plus de soutien et de ressources. « Les RSSI doivent s’attendre à ce que les conversations des cadres s’éloignent des discussions sur les performances et la santé du SI pour se tourner vers des exercices axés sur les risques et la valeur », explique le cabinet de conseil.