Les RSSI luttent pour le statut de C-Suite alors même que les attentes montent en flèche

Il est de plus en plus demandé aux RSSI d'assumer des responsabilités qui seraient normalement considérées comme un rôle de direction, mais sans être considérés ou traités comme tels dans de nombreuses organisations, selon une nouvelle enquête menée auprès de 663 responsables de la sécurité.

L'enquête a été menée par l'IANS en collaboration avec Artico Search et a interrogé les RSSI sur une variété de questions liées à leur travail, leurs responsabilités, le soutien de la direction et d'autres sujets.

75 % d’entre eux déclarent vouloir changer d’emploi.

Les attentes concernant le rôle du RSSI ont changé

Les réponses ont montré que les attentes à l'égard du rôle de RSSI ont radicalement changé dans les organisations des secteurs public et privé en raison, entre autres choses, d'une surveillance accrue de la part des régulateurs et des exigences croissantes en matière de responsabilité en cas de failles de sécurité.

A titre d'exemple, le rapport d'enquête a souligné des règles comme celles adoptées par le Securities and Exchange Commission (SEC) en juillet dernier, qui oblige les sociétés cotées en bourse à signaler tous les incidents de sécurité importants dans les quatre jours suivant l'incident. Un autre exemple est celui du Département des services financiers de l'État de New York (NYDFS) qui émet nouvelles exigences en matière de cybersécurité pour les sociétés de services financiers.

"Les régulateurs tiennent désormais les RSSI responsables de la transparence et même de la fraude au nom de leurs organisations", indiquent le rapport de l'IANS et d'Artico. On s'attend de plus en plus à ce que le RSSI joue principalement un rôle de gestion des risques de l'entreprise, avec une voix claire lors des réunions de direction et une ligne de communication directe avec le PDG et les hauts dirigeants. Pourtant, « bien que les attentes en matière de rôle soient élevées au niveau C, les RSSI ont du mal à être perçus comme tels, et le rôle du RSSI ne fait souvent pas partie de l'équipe de direction.

L'enquête a par exemple montré que si plus de 63 % des RSSI occupent un poste de vice-président ou de directeur, seuls 20 % occupent un poste de direction malgré le terme « chef » dans leur titre. Dans le cas des organisations dont les revenus dépassent 1 milliard de dollars, ce chiffre est encore plus faible, à 15 %. Du point de vue du reporting, un nombre inquiétant de 90 % des RSSI se situent à au moins deux niveaux organisationnels éloignés du PDG et de la direction. Seulement 50 % d’entre eux s’engagent auprès du conseil d’administration de leur entreprise sur une base trimestrielle. Un quart d'entre eux ne discutent avec le conseil d'administration qu'une ou deux fois par an, 12 % rencontrent le conseil d'administration uniquement de manière ponctuelle et 13 % déclarent n'avoir aucun contact avec le conseil d'administration.

Un manque d’orientation sur la responsabilité du RSSI

Dans de nombreux cas, les RSSI qui souhaitent des conseils clairs sur les risques de la part de leur conseil d’administration ne les obtiennent pas. À peine plus d’un tiers (36 %) ont décrit leur conseil d’administration comme leur offrant un aperçu suffisamment clair des niveaux de tolérance au risque de leur organisation pour qu’ils puissent agir.

« L'évolution du rôle du RSSI au cours des dernières années s'est considérablement accélérée », déclare Nick Kakolowski, directeur de recherche à l'IANS. À mesure que les organisations numérisent davantage leurs opérations, les RSSI assument davantage de responsabilités et sont devenus de facto propriétaires du risque numérique, dit-il. « [Mais] les organisations n’ont pas trouvé comment les soutenir et les responsabiliser à mesure que la portée de leur rôle s’accroît. »

Les inquiétudes se sont accrues au sein de la communauté des RSSI ces dernières années concernant les attentes croissantes autour de ce rôle, même si leur capacité à répondre à ces attentes est restée largement inchangée. Des incidents comme celui d'octobre dernier où la SEC a accusé le RSSI de SolarWinds, Tim Brown, de fraude et défaillances du contrôle interne sur la violation de 2020 dans l'entreprise, et où un juge Joe Sullivan, ancien RSSI d'Uber, a été condamné à trois ans de probation pour une violation survenue en 2016, ont alimenté ces inquiétudes. Bien qu'il y ait un débat sur la justification des actions contre les responsables de la sécurité lors de ces incidents, nombreux sont ceux qui soutiennent qu'il est injuste de les tenir seuls responsables de ces violations.

Biais historique contre la sécurité en tant que fonction de niveau C

L’une des raisons pour lesquelles de nombreuses organisations ne perçoivent toujours pas le rôle du RSSI comme appartenant à la haute direction est un préjugé historique, explique Kakolowski. « Les RSSI ont tendance à être perçus, souvent injustement, comme des techniciens qui ne parlent pas le langage de l'entreprise », dit-il, ajoutant qu'ils ont souvent tendance à être cloisonnés lorsqu'il s'agit de développement des compétences. Les efforts y ont souvent tendance à se concentrer sur les capacités techniques et le leadership d’équipe, plutôt que sur le développement des compétences des dirigeants.

Cela est également dû en partie à l'inertie. Les grandes organisations complexes mettent du temps à s’adapter aux nouveaux défis et aux changements organisationnels.

"Le plus grand défi est la lutte pour trouver un alignement entre les RSSI et le reste de la haute direction", explique Kakolowski. « Les chefs d'entreprise commencent à prendre conscience du risque de sous-utilisation des RSSI en tant que dirigeants d'entreprise, et les RSSI ont l'occasion de démontrer leur capacité à offrir de la valeur à l'organisation au-delà du back-office.

Selon Kakolowski, élever le rôle du RSSI à sa place, au sein de la haute direction, peut présenter de nombreux avantages. Faire partie de la haute direction donne aux RSSI une meilleure connaissance et visibilité de la direction que prend l'organisation, et leur permet de collaborer plus facilement avec d'autres parties prenantes sur la gestion des risques numériques.

"Cela permet au RSSI de devancer les risques, réduisant ainsi les frictions qui peuvent survenir lors de l'atténuation des risques", note-t-il.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket