82 % à le faire contre 47 % en 2023. Un constat qui masque des divergences. Au plan mondial, les RSSI européens semblent mieux lotis que leurs homologues.
Splunk a interrogé 600 personnes, dont 500 responsables de la sécurité et 100 membres de conseils d’administration (CA), sur tous les continents sauf l’Afrique. Certains RSSI étaient également membres du Conseil. La participation des RSSI ou DSI aux instances de direction est une bonne nouvelle, mais il faut la nuancer. Ainsi, seuls 29 % des RSSI affirment que leur conseil d’administration comprend au moins un membre possédant une expertise en cybersécurité. En bref, un allié sur la place.
Dans le graphique qui suit, les priorités ne sont pas partagées par les deux parties, qu’il s’agisse de l’innovation, du perfectionnement ou de la contribution à la croissance du chiffre d’affaires.

D’autre part, les RSSI surestiment leurs relations avec le conseil d’administration dans des domaines clés. Par exemple, 61 % des RSSI pensent être alignés avec les objectifs de sécurité, mais ce constat n’est partagé que par 45 % des membres du CA. Concernant l’élaboration d’un plan de réponse aux incidents, 66 % des RSSI estiment être alignés avec le CA, mais seuls 51 % des membres de ce dernier le pensent.
Autre point de divergence, le CA suppose majoritairement que l'équipe de sécurité passe l’essentiel de son temps à soutenir l’entreprise en alignant les efforts de sécurité sur les objectifs métiers, mais seulement 34 % des RSSI partagent cet avis.
Pour le CA, présenter la sécurité comme un catalyseur métier est de loin l’argument le plus pertinent, c’est l’avis de 64 % des membres du conseil. Mais les RSSI ne sont que 43 % à mettre ce point en avant.
Mesure de la réussite et respect de la conformité
Choix des métriques, rapidité de la gestion des failles de sécurité, posture de conformité, rentabilité des investissements, etc. autant de critères où l’étude de Splunk montre des divergences entre le CA et les RSSI. « Nous ne validons pas un investissement de sécurité si le retour sur investissement n'est pas d’au moins 15 %. Autrement, ce sera difficile à justifier », affirme sans détours un membre du conseil d’administration d’un groupe bancaire multinational basé au Royaume-Uni.Lorsqu’ils présentent des initiatives et des estimations, les RSSI peuvent convaincre leur conseil en rappelant que le coût des pertes de revenus et des dommages à la réputation sera probablement inférieur au coût des temps d’arrêt causés par un incident de sécurité. Côté conformité, 59 % des RSSI n’hésiteraient pas à lancer l’alerte si leur entreprise ne respectait pas ses obligations de conformité. La directive NIS 2 et le règlement DORA en Europe imposent un délai de signalement après incident de 24 heures
seulement pour NIS 2.
Des budgets insuffisants selon les RSSI
Seuls 29 % des RSSI déclarent disposer d'un budget adapté à leurs besoins et à leurs objectifs, mais 41 % des membres du conseil pensent, en majorité, que ce budget est suffisant. De nombreux RSSI ont mis en place des mesures d’économie pour faire face aux carences budgétaires. Le point le plus important pour les responsables sécurité concerne le report de mise à niveau technologique dû à un budget insuffisant (52 %) et qui a abouti à une attaque réussie pour 62 % du panel.
Concernant l’IA, 22 % des RSSI, pensent qu’elle leur donnera un léger avantage sur les attaquants. Une majorité des RSSI (56 %) souhaite établir des protocoles pour déterminer quelles tâches peuvent être confiées à l’IA et lesquelles sont mieux adaptées aux humains.