Le rôle du Chief Information Security Officer évolue : d’un défenseur tactique à un partenaire commercial
octobre 2024 par Luc Sabot, Directeur d’Ivanti France
Le rôle du CISO (Directeur de la sécurité de l’information) a énormément changé en seulement quelques années. Jadis limité à la sécurité technique, le CISO est désormais un partenaire stratégique pour les hauts dirigeants.
Cette transformation du rôle du CISO se produit alors que les technologies avancées comme l’IA générative compliquent le paysage des menaces, tandis que le travail à distance et hybride étendent la surface d’attaque des entreprises. La vérité, c’est qu’il est impossible de créer une forteresse numérique impénétrable. Ce concept est un mythe, surtout quand on sait que la cybersécurité est une cible mouvante. Les entreprises doivent plutôt se concentrer sur une gestion des vulnérabilités solide.
Cette approche donne la priorité aux correctifs qui traitent les vulnérabilités critiques et au développement de plans complet de réponse aux incidents. Pour réussir ce virage, les dirigeants doivent adhérer au projet et s’aligner entre eux. Les CISO jouent un rôle essentiel car ils éduquent le comité de direction concernant la gestion des vulnérabilités et orientent l’entreprise vers un niveau de sécurité plus résilient.
CISO, c’est à vous de jouer
Comment les CISO peuvent-ils s’épanouir dans leur nouveau rôle et renforcer la sécurité ?
Il existe de nombreuses stratégies :
• Traduire le jargon technique en termes commerciaux. Décrivez les risques de façon à toucher les CEO et le conseil d’administration : impact financier, perte de réputation et conformité aux réglementations en vigueur.
• Quantifier l’impact sur la sécurité. Développez des mesures qui montrent comment les incidents de sécurité affectent la satisfaction des clients, la productivité des collaborateurs et la réputation de la marque.
• Nourrir la collaboration entre départements. Faites tomber les silos qui séparent le département IT, la Sécurité et les autres départements, afin d’adopter une approche globale de la gestion des risques.
• Réfléchir de façon stratégique. La sécurité ne se fait pas dans le vide. Réfléchissez à la façon dont les décisions de sécurité soutiennent les objectifs globaux à long terme de l’entreprise et sa stratégie de croissance.
• S’impliquer au niveau du conseil d’administration. 86 % des entreprises discutent désormais de la gestion des cyberrisques au conseil d’administration. Les CISO ont donc une occasion en or d’orienter les décisions clés.
• Développer les talents. Créez des parcours permettant aux professionnels IT et de sécurité d’acquérir des compétences à la fois techniques et commerciales, pour créer un vivier de futurs dirigeants stratégiques en matière de sécurité.
Les menaces n’attendront pas...
Les cybermenaces évoluent sans cesse, c’est exactement pourquoi le rôle du CISO évolue également. Et les enjeux sont énormes. Le coût moyen d’une fuite de données en 2023 était de 4,45 millions de dollars, soit 15 % d’augmentation en 3 ans. Les rançons payées suite aux ransomwares ont atteint leur record absolu en 2023, à savoir 1,1 milliard de dollars dans le monde.
Les CISO peuvent favoriser l’alignement en élargissant leur perspective et en tenant compte non seulement de l’impact technique, mais aussi des conséquences pour l’entreprise au sens large.
À mesure que le paysage numérique devient plus complexe, les CISO qui réussissent le mieux seront ceux qui arrivent à trouver l’équilibre entre expertise technique et objectifs commerciaux stratégiques. Ils doivent être aussi à l’aise pour parler de priorisation des correctifs que pour analyser les cyberrisques potentiels pour le M&A. En acceptant cette évolution, du statut de défenseur technique à celui de partenaire stratégique, les CISO peuvent jouer un rôle central et plus important au sein de l’entreprise.