La cybersécurité : une fonction stratégique qui doit gagner en influence

Il est essentiel pour les entreprises de valoriser les fonctions liées à la cybersécurité, afin de leur donner les moyens de protéger l'organisation, mais également d'attirer les meilleurs talents.

Face à l’accroissement et à la sophistication continue de la menace cyber qui pèse sur les entreprises, le rôle essentiel des responsables de la sécurité du système d’information (RSSI) ne fait plus de doute aujourd’hui. Pourtant, cette fonction est encore inégalement valorisée dans les sociétés, qui négligent trop souvent de lui attribuer sa juste place dans l’organigramme.

Rendre la fonction plus visible et attractive

Les investissements alloués au recrutement des RSSI, puis à leur développement, restent encore à un niveau insuffisant compte tenu des enjeux liés à ce poste. Loin d’être une fonction support, le RSSI définit et met en œuvre la politique de sécurité et la stratégie de gestion des risques, assumant un rôle de coordination et de gouvernance au sein de l'entreprise. Autant de missions qui nécessitent de combiner une solide maîtrise technique, mais aussi une profonde connaissance de l’activité de l’entreprise, de ses métiers et de ses enjeux commerciaux. Et ce, pour être à même d’apporter une vision éclairante des risques cyber à la direction générale pour lui permettre de prendre des risques calculés et d’opérer des choix audacieux. Par ailleurs, le RSSI doit désormais faire preuve d’une excellente communication lui permettant de sensibiliser et d’impliquer l’ensemble des parties prenantes, ainsi que d’influencer toute l’organisation de manière à développer une solide culture de la cybersécurité et d’intégrer cette dimension à tous les projets de l’entreprise dès leur genèse.

Il est donc prioritaire d’arriver à recruter et faire grandir des profils à haut potentiel pouvant s’affirmer comme de véritables partenaires des métiers auprès du comité de direction et du conseil d’administration. Pour ce faire, les organisations doivent offrir à leur RSSI un positionnement dans l’organigramme traduisant la criticité de cette fonction. Elles doivent aussi leur apporter du soutien, de l’écoute et des moyens, pour in fine permettre à l’intéressé d’appréhender sereinement son poste et ses différentes dimensions. Et ce, avec des possibilités d’évolution vers le poste de DSI, voire de directeur d’entité ou de directeur général.

C’est à ce prix-là que la cybersécurité pourra s’insérer dans un parcours attractif et drainer les meilleurs talents, qui se tournent aujourd’hui plus volontiers vers la gestion des données et l’intelligence artificielle, la transition numérique, l’omnicanalité, le génie logiciel ou les opérations.

Un périmètre qui s’élargit 

La nécessité d’avoir des profils de haut niveau sur le poste de RSSI est corrélée à l’élargissement de son périmètre à mesure que les besoins technologiques des sociétés s’accentuent (notamment dans le cadre du développement de l’intelligence artificielle). S’il s’agissait à l’origine d’assurer une « veille technologique » pour prévenir les attaques et orchestrer des réponses en cas de crise, les missions se sont depuis largement transformées au gré des nouveaux défis auxquels les entreprises font face.

Les évolutions réglementaires et l’accroissement des risques (cyberattaques de plus en plus nombreuses, risques géopolitiques accrus, périmètre technologique des sociétés en constante extension) rendent obligatoire pour le RSSI de se confronter parallèlement à des questions d’assurance et de conformité. Il s’agit de répondre à des exigences de sécurité de plus en plus élevées, de management pour encadrer des équipes grandissantes ou encore de conduite du changement dans le cadre des transformations numériques des organisations. Autant de prérogatives qui appellent de réelles qualités de communicant et des compétences relationnelles permettant de peser dans les processus de décision.

Une disparité entre l’Europe et le monde anglo-saxon

Si les pays anglo-saxons, à commencer par les États-Unis, ont pris la pleine mesure de ce changement de paradigme et accordent aux RSSI (qui ont d’ailleurs généralement le statut de « Directeur » dans les entreprises outre-Atlantique) un poids stratégique de premier plan, ce changement ne s’est pas encore opéré en Europe où ce poste est encore trop systématiquement occupé par des profils strictement techniques, sans réel pouvoir d’influence.

Un tournant doit donc encore être pris pour accroître la compréhension des enjeux de cybersécurité dans les instances de direction mais aussi dans l’ensemble des organisations. En naîtra une collaboration renforcée des RSSI avec les métiers pour co-construire des systèmes d’information répondant aux besoins des opérations et des fonctions transverses, tout en étant pensés pour que leur vulnérabilité aux cyberattaques soit maîtrisée et réponde à des risques calculés.

Si cette transition est bien sûr un processus déjà à l’œuvre dans les entreprises européennes, le contexte géopolitique, économique et réglementaire international nous encourage encore davantage à l’accélérer.