Le RSSI a fait sa premiere apparition en tant que membre de la suite C en 1995, et depuis lors, il n’a cesse d’evoluer vers un poste de direction a part entiere.
Selon les donnees de Heidrick & Struggles, plus de la moitie des CISO mondiaux relevent soit du CIO, du CTO ou d’un autre cadre superieur de l’ingenierie, tandis que seulement 8 % relevent directement du PDG.
Mais il y a des signes que les RSSI deviennent plus visibles et assument un role de leadership plus important a mesure que les cybermenaces deviennent plus repandues. Avec des acteurs sophistiques de la menace ciblant les operations et les interets financiers de l’entreprise, pres de neuf RSSI sur dix declarent avoir un siege a la table du conseil d’administration, faisant rapport regulierement aux comites ou a l’ensemble du conseil d’administration.
« En fin de compte, la visibilite d’un RSSI se resume a l’importance que l’entreprise accorde a la securite », a declare Ryan Davis, RSSI chez NS1.
Si une organisation adopte la securite, le RSSI a tendance a etre plus visible et plus accessible au sein de la direction et dans toute l’entreprise. A l’inverse, si le service de securite n’est la que pour cocher une case de conformite de l’industrie, le CISO est plus susceptible d’etre un acteur mineur et manquera de visibilite ou d’autorite.
Ce qui empeche les RSSI de dormir la nuit
En fin de compte, peu importe ce que la suite C pense de la securite. S’il y a un type d’incident cybernetique, c’est le RSSI qui assume cette responsabilite.
Les RSSI sont confrontes a des problemes de penurie de talents et de retention du personnel, au paysage des menaces de plus en plus sophistiquees en raison des attaques de la chaine d’approvisionnement des logiciels et aux tensions geopolitiques.
« Ce qui m’empeche de dormir la nuit, c’est le risque d’avoir un acteur malveillant tres sophistique qui pourrait potentiellement habiter et se cacher dans un reseau sans preavis pendant une periode prolongee, exfiltrant des donnees de l’entreprise », a declare Steven Sim, CISO mondial pour une multinationale de la logistique. , president d’ISACA Singapour et president du comite executif d’OT-ISAC.
Les acteurs de la menace sophistiques concernent egalement Kemal Piskin, CISO chez LinQuest. Alors que les services de securite s’appuient sur des technologies telles que l’IA pour aider a detecter et a prevenir les cyberattaques, les cybercriminels exploitent les memes technologies pour lancer des attaques.
Le travail a distance a aussi ses problemes – une benediction et une malediction pour les RSSI. Selon une enquete de (ISC)2, les professionnels de la cybersecurite souhaitent travailler a domicile, ce qui pourrait avoir un impact positif sur la penurie de talents. Mais les RSSI comme Piskin considerent les non-cybertravailleurs comme un defi.
Dans une situation ideale, tous les travailleurs a distance seraient bien formes a la cybersensibilisation et utiliseraient un cadre de confiance zero et d’autres meilleures pratiques de securite. La realite est que la veritable securite des reseaux domestiques et des appareils personnels est inconnue. Cela augmente le risque d’une cyberattaque.
Developper le role de RSSI
De nombreux RSSI voient leur role actuel comme un melange entre la technologie et les affaires. « Je ne passe pas la majeure partie de mon temps a m’inquieter des evenements de securite, mais plutot de la facon dont l’entreprise fonctionne avec la securite », a declare Piskin.
Participer a des conversations sur les operations commerciales au sein de l’equipe de direction est la facon dont de nombreux RSSI souhaitent voir leur role continuer a evoluer.
« J’aimerais voir les fonctions de securite au sein des organisations etre definies et percues differemment, a la fois en interne et en externe », a declare Jason Rader, vice-president et CISO chez Insight Enterprises.
Tout comme tout le monde dans l’entreprise porte une part de responsabilite dans le bon fonctionnement de l’entreprise, Rader pense que les RSSI devraient promouvoir une approche similaire en matiere de securite. Chacun doit jouer un role essentiel dans la securite de l’organisation.
« Une erreur peut etre une porte d’entree vers de mauvais acteurs et exposer des vulnerabilites qui peuvent etre dommageables, donc tout le monde joue un role et doit se sentir responsable », a declare Rader.
Cependant, la securite est en silo depuis longtemps et changer cet etat d’esprit ne se fera pas du jour au lendemain. Meme dans les organisations ou les RSSI occupent une position de haute visibilite et font veritablement partie de l’equipe de direction, le role doit continuer a evoluer afin que l’organisation puisse suivre le paysage des menaces.
La Securities and Exchange Commission (SEC) des Etats-Unis et les organismes de reglementation ont de plus en plus impose l’importance de l’expertise en cybersecurite, ce qui aura egalement un impact sur l’evolution du role du CISO.
« Il y a certainement un long chemin a parcourir », a declare Rader. « Cela n’arrivera pas par accident, et cela demandera des efforts et de la perseverance. Cependant, le gain peut etre important.