Etude Netskope : les RSSI sont de plus en plus à l’aise avec le risque, mais un meilleur alignement de la part de la direction est nécessaire
juin 2024 par Netskope par Censuswide
Netskope publie une nouvelle étude mondiale qui révèle que l’évolution du paysage des cybermenaces a changé la façon dont les responsables de la sécurité des systèmes d’information (RSSI) d’aujourd’hui estiment leur appétence au risque. Notamment, 92 % des RSSI déclarent que ces ajustements créent des tensions avec leur PDG et d’autres membres de la C-suite, et les deux tiers (66 %) se décrivent comme étant dans une situation délicate, entre ce que veut l’entreprise et ce qui est logique du point de vue de la sécurité.
Des tensions et des défis face au risque
L’étude, qui porte sur plus de 1 000 RSSI dans le monde entier, montre l’évolution du rôle du RSSI en tant que membre stratégique de l’équipe exécutive. Contrairement aux stéréotypes hérités selon lesquels le RSSI est intrinsèquement réfractaire au risque, en France, seuls 7 % des RSSI interrogés considèrent que leur appétence actuelle pour le risque est faible. En comparaison, les taux d’aversion au risque sont beaucoup plus élevés au Royaume-Uni (27 %) et en Allemagne (16 %). Globalement – et de manière contre-intuitive, les RSSI français considèrent que leurs PDG sont beaucoup plus réfractaires au risque qu’eux-mêmes, avec deux fois plus de personnes interrogées au niveau mondial (32 %) qui perçoivent leur PDG comme ayant une faible appétence pour le risque. Ce chiffre est légèrement inférieur en France (28 %).
60 % des RSSI en France ont déclaré que leur goût du risque s’était accru au cours des cinq dernières années, que ce soit en dépit de l’augmentation du volume et de la sophistication des cybermenaces ou à cause d’elles, contre 38 % au Royaume-Uni et 48 % en Allemagne. Les RSSI au Japon sont ceux dont le goût pour le risque affiche le plus fort taux de croissance, avec 84 %.
En France, les avancées en termes de technologies et de solutions de sécurité (81 %), un meilleur accès aux données et aux analyses (80 %) ainsi que l’adoption d’une approche zero-trust au sein de leur organisation (79 %) figurent parmi les facteurs expliquant l’appétence grandissante des RSSI pour le risque.
L’étude révèle par ailleurs des sources de conflits au sein des équipes de direction face aux risques et au rôle des RSSI :
74 % des RSSI français estiment que d’autres membres de la C-suite ne voient actuellement pas que leur rôle rend l’innovation possible, le deuxième taux le plus important après le Japon (88 %), et bien plus élevé que les 57 % en Amérique du Nord, 55 % en Allemagne et 50 % au Royaume-Uni.
Ces divergences de points de vue peuvent se manifester par de véritables problèmes au sein des conseils d’administration, une écrasante majorité (94 %) des RSSI en France confirmant que des attraits contradictoires pour le risque sont un problème dans leur C-suite, 31 % d’entre eux déclarant que des tensions et des défis surgissent souvent.
Compte tenu de ces perspectives opposées, les RSSI d’aujourd’hui ont la lourde tâche de trouver le bon équilibre au sein de leur organisation : 81 % d’entre eux en France considèrent que leur rôle consiste à trouver un équilibre entre des priorités contradictoires au sein de l’organisation, et 73 % déclarent avoir souvent l’impression d’être sur la corde raide entre ce que veut l’entreprise et ce qui est logique du point de vue de la sécurité.
40 % des RSSI français déclarent par ailleurs que les risques liés à la cybersécurité sont ceux qui ont créé le plus de tensions et de défis auprès de la C-suite, contre 36 % au Japon, 31 % en Amérique du Nord, 30 % en Allemagne et 26 % au Royaume-Uni. Les risques liés à la réputation de l’entreprise arrivent en deuxième position (38 %) suivis par ceux liés à la supply chain (34 %) en France.
L’essor d’un RSSI progressiste
Une majorité (71 %) des RSSI interrogés en France estiment que leur rôle change rapidement et rapportent devenir de plus en plus proactif et progressiste, et ce encore plus au Japon (89 %), contre 59 % en Amérique du Nord, 53 % au Royaume-Uni et 52 % en Allemagne. Cette tendance s’explique notamment par l’adoption de technologies modernes, créant de nouvelles possibilités pour stimuler l’innovation et l’impact sur l’activité.
Par ailleurs, seuls 36 % des RSSI en France se voient jouer un rôle de « protecteur » uniquement axé sur la défense de l’organisation, et 75 % d’entre eux considèrent de plus en plus que leur rôle consiste à améliorer la résilience des entreprises, et pas seulement à gérer les cyber-risques, un chiffre bien plus élevé que pour leurs homologues Allemands (55 %) et Britanniques (51 %).
73 % des RSSI en France déclarent par ailleurs vouloir jouer un rôle encore plus actif à l’avenir, contre 58 % en Allemagne et 54 % au Royaume-Uni. Ils sont également une majorité (79 %) à indiquer que le fait d’influencer et d’éduquer les autres membres de la C-suite est un aspect de plus en plus important de leur rôle, contre 66 % pour la moyenne mondiale. Longtemps connu comme le « département du non », 72 % des RSSI souhaiteraient pouvoir dire « oui » à l’entreprise plus souvent.
« L’étude montre clairement que les RSSI sont généralement désireux de jouer un rôle plus proactif qui favorise l’innovation tout en protégeant l’entreprise, déclare James Robinson, RSSI chez Netskope. D’après mon expérience, la meilleure façon de faire des RSSI des partenaires plus proactifs au sein de l’équipe de direction est d’acquérir une compréhension approfondie des défis commerciaux que les collègues de la direction s’efforcent de résoudre, et de les aligner sur les stratégies de sécurité, plutôt que d’essayer d’imposer une stratégie de sécurité - ou des choix technologiques individuels - sur ce qui est perçu comme l’appétit pour le risque de la C-suite. Trop souvent, cet alignement ne se fait pas entre les équipes de l’entreprise. Toutefois, les RSSI qui sont capables de définir la manière dont ils aident leurs pairs à acquérir de nouveaux revenus, à réaliser des gains d’efficacité et à respecter les exigences réglementaires seront reconnus comme des contributeurs précieux au plus haut niveau. »
« Les technologies commerciales et les cybermenaces évoluant plus rapidement que jamais, il est encourageant de constater que les RSSI sont de plus en plus progressistes dans leur réflexion, explique Steve Riley, Field CTO chez Netskope. Ils ne ressentent manifestement plus le besoin de verrouiller complètement les accès si c’est au détriment des opérations commerciales. Cependant, notre recherche montre que l’ensemble du conseil d’administration n’est pas forcément prêt pour que les RSSI sortent de leur rôle traditionnel de protecteur de l’entreprise. Pour favoriser véritablement l’innovation sécurisée et la transformation des entreprises, ils doivent accompagner leurs collègues dans cette démarche et les aider à comprendre comment des expressions à la mode telles que le zero trust contribuent réellement à des stratégies qui établissent un équilibre entre la sécurité et le maintien des activités. »
L’étude a été réalisée pour le compte de Netskope par Censuswide et a interrogé 1 031 RSSI du monde entier sur cinq marchés (Royaume-Uni, Amérique du Nord, France, Allemagne, Japon) dans un large éventail de secteurs, notamment la santé, la vente au détail, la finance et l’industrie.