![[podcast] L’Intelligence artificielle : utopie dystopique](https://www.radiofrance.fr/pikapi/images/c3fa27d4-1615-4438-8ac0-faa742fa8c39/200x200?webp=false)
Sécurité informatique : la majorité des organisations ajustent leurs règles pour réduire la pression sur les RSSI
Sécurité informatique : la majorité des organisations ajustent leurs règles pour réduire la pression sur les RSSI Les RSSI gagnent en influence dans les conseils d'administration, tandis que le soutien juridique aux équipes de cybersécurité se renforce. - Investigations
Face à une pression croissante et des régulations plus strictes, les entreprises prennent des mesures concrètes pour protéger leurs Responsables de la Sécurité des Systèmes d'Information (RSSI). Une étude menée par Fastly, Inc. révèle que 93% des organisations ont modifié leurs politiques au cours des douze derniers mois pour répondre aux inquiétudes croissantes liées à la responsabilité personnelle des RSSI. Parmi elles, 41% ont renforcé le rôle des RSSI dans les décisions stratégiques au niveau du conseil d'administration.
Fin 2023, l'adoption de nouvelles réglementations, telles que les règles de la SEC sur la gestion des risques de cybersécurité et la divulgation des incidents par les entreprises cotées, a intensifié la responsabilité des entreprises face aux violations de données. Cette situation a alimenté les préoccupations autour de la responsabilité individuelle des RSSI. Pour y faire face, 38% des organisations interrogées dans le cadre de l'étude Fastly ont mis en place "un examen approfondi des documents de divulgation de sécurité par les agences de supervision" et 38% ont renforcé le soutien juridique pour leurs équipes de cybersécurité, notamment via l'assurance responsabilité. De plus, les entreprises ont alloué davantage de ressources à la sécurité au cours de l'année écoulée.
Mais bien que ces mesures soient une avancée positive, Marshall Erwin, RSSI chez Fastly, met en garde contre une approche trop centrée sur la protection juridique des entreprises sans s'attaquer aux racines du problème :
"Il est encourageant de voir que la majorité des entreprises adaptent leurs stratégies face à la responsabilité des RSSI, mais ces changements visent souvent plus à protéger les entreprises qu'à réellement améliorer les pratiques de sécurité. La responsabilité ne doit pas être une épée de Damoclès pour les RSSI, mais une opportunité de renforcer les stratégies de cybersécurité. Pour avancer, nous avons besoin de normes plus claires émanant des régulateurs afin de distinguer les incidents inévitables de ceux causés par des pratiques défaillantes." déclare Marshall Erwin.
Responsabilité partagée, pas un point unique de défaillance
L'étude de Fastly révèle également que près de la moitié (46%) des organisations ne savent pas clairement qui détient la responsabilité ultime des incidents de cybersécurité, et seulement 36% ont défini de manière précise les rôles et responsabilités au sein de leurs équipes.
"Les RSSI ne prennent pas seules toutes les décisions concernant les risques de sécurité. La vraie question pour un conseil d'administration est : 'Avons-nous aligné le budget et les ressources nécessaires face aux risques que le RSSI nous a présentés ?' La responsabilité commence au sommet, avec une communication claire et un soutien de la direction générale", ajoute Marshall Erwin.
Cette responsabilité ne doit pas peser sur une seule personne, mais être partagée à tous les niveaux de l'organisation. Une collaboration efficace et une compréhension commune des risques sont essentielles pour réduire l'exposition aux cyberattaques.
Créer de meilleures normes
Le rapport souligne l'importance pour le secteur de se préparer au prochain incident de grande envergure avec des cadres de responsabilité plus robustes, axés sur des actions concrètes plutôt que sur une simple conformité réglementaire. À mesure que les normes évoluent, les entreprises doivent voir la responsabilité des RSSI non comme une menace, mais comme une opportunité de renforcer leurs postures de sécurité et de promouvoir un changement durable.
À propos de l'étude
Cette recherche a interrogé 1 800 décideurs informatiques clés ayant une influence en matière de cybersécurité, dans de grandes organisations couvrant plusieurs secteurs en Amérique du Nord, Centrale et du Sud, en Europe, en Asie-Pacifique et au Japon, dont 200 participants français. Les entretiens ont été menés en ligne par Sapio Research en septembre 2024 à l'aide d'une invitation par e-mail et d'une enquête en ligne.
