Un RSSI sur cinq a été poussé à taire des questions de conformité

Les RSSI subissent des pressions pour ne pas signaler les problèmes de conformité

La sécurité est une affaire sérieuse. Aucun dirigeant n’aime les surprises, surtout lorsqu’elles s’accompagnent d’amendes réglementaires, de poursuites judiciaires et d’atteintes à la réputation. Mais voici le problème : 21 % des RSSI ont subi des pressions pour ne pas signaler des problèmes de conformité.

La conformité en matière de cybersécurité est le fondement de la confiance entre les entreprises, les clients et les autorités de réglementation. Mais certains dirigeants, sous la pression de maintenir des opérations fluides et d’éviter les contrôles, considèrent la conformité comme un inconvénient plutôt que comme une nécessité. Au lieu de combler les lacunes en matière de sécurité, ils poussent les RSSI à se taire. Ce n’est pas très judicieux.

La bonne nouvelle ? Les RSSI ne restent pas passifs. Le rapport indique que 59 % d’entre eux dénonceraient le non-respect de la conformité par leur entreprise. Cela signifie qu’il ne s’agit pas d’un problème mineur. Lorsque près de deux tiers des responsables de la sécurité sont prêts à prendre des mesures radicales, cela signifie qu’il y a un sérieux décalage entre la direction de la cybersécurité et l’équipe dirigeante au sens large.

Cette lacune trouve son origine dans une incompréhension fondamentale de ce qu’impliquent la sécurité et la conformité. De nombreux membres de conseils d’administration sous-estiment la complexité et les efforts nécessaires pour maintenir la conformité. Ils supposent qu’il s’agit d’un processus simple et automatisé alors qu’en réalité, il nécessite une surveillance constante, une évaluation des menaces et une adaptation à des réglementations en constante évolution.

« En réalité, si votre équipe de sécurité n’est pas totalement transparente sur les risques, votre entreprise est déjà compromise ».

Les RSSI gagnent en pouvoir, mais le désalignement persiste

La cybersécurité est enfin entrée dans la salle du conseil d’administration, en quelque sorte. Le rapport montre que 82 % des RSSI dépendent désormais directement du PDG, contre 47 % l’année dernière. Il s’agit là d’un changement considérable. Cela signifie que les entreprises reconnaissent que la sécurité est une fonction essentielle de l’entreprise.

Mais le problème est là : avoir un siège à la table ne signifie pas que tout le monde parle le même langage. Alors que 83 % des RSSI assistent désormais aux réunions du conseil d’administration, l’alignement stratégique fait toujours défaut. Les dirigeants veulent que la sécurité s’aligne sur les objectifs de l’entreprise, mais les RSSI sont accaparés par l’exécution technique – le choix, l’installation et la gestion des systèmes de sécurité. Il y a un décalage entre ce que le conseil d’administration pense que les RSSI font et ce qu’ils font réellement.

Les responsables de la sécurité sont également confrontés à une vague croissante de cybermenaces. Selon le rapport, 94 % des RSSI ont subi une cyberattaque perturbatrice et plus de la moitié d’entre eux ont été confrontés à plusieurs incidents. Les enjeux ne pourraient être plus élevés. Malgré cela, de nombreux membres de conseils d’administration ne considèrent toujours pas la cybersécurité comme une priorité absolue. Ils en reconnaissent l’importance, mais lorsqu’il s’agit d’allouer des budgets et des ressources, ils ne s’en préoccupent pas. budgets et des ressourcesd’autres priorités prennent le dessus.

En réalité, les RSSI sont responsables à la fois de la protection des données et de l’entreprise elle-même. Leur présence dans les conseils d’administration est un pas dans la bonne direction, mais tant que la sécurité ne sera pas pleinement intégrée à la stratégie de l’entreprise, le risque restera élevé.

Les RSSI et les conseils d’administration ne s’accordent pas sur les priorités en matière de sécurité

L’alignement entre les RSSI et les conseils d’administration est une bonne chose en théorie. Dans la pratique, c’est un véritable gâchis. Le rapport révèle que si 52 % des membres des conseils d’administration pensent que les RSSI se concentrent principalement sur l’alignement de la sécurité sur les objectifs de l’entreprise, seuls 34 % des RSSI sont de cet avis. Cela représente un écart de perception de 20 points – en fait, les membres du conseil d’administration supposent que les responsables de la sécurité travaillent à la réalisation des objectifs de l’entreprise alors qu’en réalité, ils sont plongés dans les méandres de la mise en œuvre de la sécurité.

La question qui se pose ici est celle des priorités. Plus de la moitié des RSSI (52 %) considèrent les technologies émergentes comme une priorité absolue, mais seulement 33 % des membres des conseils d’administration sont du même avis. Il en va de même pour le développement de la main-d’œuvre : 51 % des RSSI estiment qu’il est essentiel d’améliorer les compétences des équipes de sécurité, mais seulement 27 % des conseils d’administration pensent qu’il s’agit d’une priorité.

Il y a aussi la question de la conformité. La plupart des RSSI la considèrent comme une exigence de base et non comme un moteur stratégique. Seuls 15 % d’entre eux considèrent la conformité comme un indicateur de performance de premier ordre, alors que 45 % des membres du conseil d’administration pensent qu’il s’agit d’un indicateur clé de l’efficacité de la sécurité. Le problème ? La conformité n’est pas nécessairement synonyme de sécurité. Vous pouvez être en conformité tout en étant totalement vulnérable aux attaques.

Ce décalage a des conséquences réelles. Si les RSSI et les conseils d’administration ne sont pas alignés sur les priorités en matière de sécurité, les décisions de financement en pâtissent, les temps de réponse ralentissent et les organisations restent exposées.

« La cybersécurité doit être considérée moins comme un problème informatique que comme une initiative à l’échelle de l’entreprise. Et pour cela, il faut d’abord que tout le monde soit sur la même longueur d’onde. »

Les RSSI surestiment leur capacité à communiquer avec les conseils d’administration

Les RSSI pensent qu’ils font du bon travail en matière de communication des besoins de sécurité. Le conseil d’administration n’est pas d’accord. C’est un problème.

Selon le rapport, 61 % des RSSI pensent être en phase avec les membres du conseil d’administration sur la stratégie de sécurité, mais seuls 43 % des membres du conseil d’administration partagent cette confiance. Lorsqu’il s’agit de rendre compte des progrès réalisés en matière de sécurité, 44 % des RSSI pensent qu’ils communiquent bien, mais seulement 29 % des membres du conseil d’administration sont du même avis. Il s’agit là d’une rupture fondamentale de la communication.

Cela a également un impact réel sur l’activité de l’entreprise. L’une des principales conséquences de ce décalage est la budgétisation. Alors que seulement 29 % des RSSI estiment recevoir des budgets adéquats, 41 % des membres des conseils d’administration pensent qu’ils financent déjà suffisamment la sécurité. Il s’agit là d’un écart considérable entre les attentes, qui conduit à un dangereux sous-investissement.

Résultat ? Les mises à niveau en matière de cybersécurité sont retardées, et lorsque la sécurité est reléguée au second plan, de mauvaises choses se produisent. Le rapport révèle que 62 % des RSSI qui ont reporté des mises à niveau technologiques en raison de contraintes budgétaires ont ensuite subi une cyberattaque réussie. Ce n’est pas une coïncidence.

La conclusion à en tirer est simple : Les RSSI doivent être plus clairs, plus directs et plus axés sur les données dans leur communication avec les conseils d’administration. Il ne suffit pas de parler des menaces, les conseils d’administration doivent comprendre l’impact financier des failles de sécurité. Plus les RSSI parviendront à formuler la sécurité en termes de risques commerciaux, plus leur communication sera efficace.

Les RSSI doivent vendre la cybersécurité comme un catalyseur pour les entreprises

Si vous voulez obtenir l’adhésion des dirigeants, vous devez leur montrer les avantages. La cybersécurité est souvent considérée comme un centre de coûts, quelque chose dans lequel les entreprises investissent pour éviter un désastre. Ce n’est pas la bonne façon de voir les choses. La sécurité favorise la croissance.

Le rapport révèle que 44 % des conseils d’administration donnent la priorité à la croissance de l’entreprise plutôt qu’à la cybersécurité, et que seuls 24 % d’entre eux considèrent les initiatives en matière de sécurité comme une priorité. C’est un problème, mais c’est aussi une opportunité. La clé est de présenter la cybersécurité comme un moteur de la valeur de l’entrepriseet non comme un simple mécanisme de défense.

À l’heure actuelle, seuls 43 % des RSSI adoptent cette approche. Cela signifie que la majorité d’entre eux continuent de parler de sécurité en termes de menaces, de vulnérabilités et de risques. Mais voici ce qui touche les membres des conseils d’administration : les chiffres. 64 % des conseils d’administration déclarent que le moyen le plus efficace d’obtenir un financement est de présenter la sécurité comme un élément facilitateur pour l’entreprise – quelque chose qui protège les revenus, améliore la confiance des clients et assure la continuité.

Par ailleurs, 46 % des conseils d’administration sont convaincus par des données financières précises, à savoir le coût des violations potentielles, des amendes réglementaires et des temps d’arrêt. En d’autres termes, la sécurité doit être vendue comme une décision financière, et pas seulement technique.

Si les RSSI veulent obtenir les budgets dont ils ont besoin, ils doivent parler le langage du conseil d’administration. La cybersécurité se définit par la résilience, la stabilité et la réussite commerciale à long terme. Il est temps de changer de discours.

Principaux enseignements pour les dirigeants

Conformité et transparence : Plus de 21 % des RSSI ont subi des pressions pour dissimuler des problèmes de conformité, ce qui nuit à la sécurité et aux normes éthiques. Les dirigeants doivent imposer une culture de la transparence et de la responsabilité pour s’assurer que les problèmes de conformité sont rapidement résolus.
Alignement stratégique dans la salle du conseil d’administration : Malgré la présence accrue des RSSI au niveau de la direction, un décalage persiste entre les réalités techniques et les attentes du conseil d’administration en ce qui concerne les priorités et les budgets. Les décideurs devraient favoriser une collaboration plus étroite afin d’aligner les initiatives en matière de cybersécurité sur les objectifs plus larges de l’entreprise.
Une communication sur les cyberrisques fondée sur les données : Il existe un fossé important dans la manière dont les RSSI et les membres du conseil d’administration perçoivent les progrès en matière de sécurité, de nombreux RSSI ayant le sentiment de manquer de ressources par rapport aux évaluations du conseil d’administration. Les dirigeants devraient mettre en œuvre des stratégies de communication axées sur les données et sur l’activité afin d’expliquer clairement l’impact des risques et de garantir les investissements nécessaires.
La cybersécurité comme catalyseur de l’activité : Considérer la cybersécurité uniquement comme un coût défensif limite son potentiel à stimuler la croissance de l’entreprise. Les dirigeants doivent recadrer les investissements en sécurité en termes de protection des revenus, d’amélioration de la résilience opérationnelle et de réussite stratégique à long terme.

Tim Boesen

février 13, 2025

10 Min

Technologies et innovation
Évitez ces 7 erreurs courantes de cloud hybride avant qu’il ne soit trop tard.
Fév 20, 2025
14 min
Recherche et conception produit
La clé d’un code à l’épreuve du temps est de le garder flexible
Fév 20, 2025
7 min
Leadership et management
DevX est plus important que jamais pour satisfaire les développeurs
Fév 20, 2025
6 min

Un RSSI sur cinq a été poussé à taire des questions de conformité

Les RSSI subissent des pressions pour ne pas signaler les problèmes de conformité

Les RSSI gagnent en pouvoir, mais le désalignement persiste

Les RSSI et les conseils d’administration ne s’accordent pas sur les priorités en matière de sécurité

Les RSSI surestiment leur capacité à communiquer avec les conseils d’administration

Les RSSI doivent vendre la cybersécurité comme un catalyseur pour les entreprises

Principaux enseignements pour les dirigeants

Évitez ces 7 erreurs courantes de cloud hybride avant qu’il ne soit trop tard.

La clé d’un code à l’épreuve du temps est de le garder flexible

DevX est plus important que jamais pour satisfaire les développeurs

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Ce qu’il adviendra du marché de l’emploi UX en 2024

Tests alpha et tests bêta : Quelles sont les principales différences ?

L’intégration de l’IA est-elle en train de détruire les relations au travail ?

13 grandes tendances technologiques à attendre en 2024

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps