La puissance du partenariat entre les RSSI et leur conseil d’administration

Les RSSI font officiellement partie du comité de direction, et on peut dire qu’ils collaborent plus étroitement que jamais avec les autres dirigeants du conseil d’administration.  

82 % des RSSI sont désormais placés sous la supervision directe du PDG, alors qu’ils n’étaient que 47 % dans ce cas en 2023, et ils sont 83 % à participer assez souvent ou la plupart du temps aux réunions du conseil.  

La nouvelle édition du Rapport pour les RSSI de Splunk aborde les raisons qui font qu’ils occupent une place plus importante à la table du conseil, explique dans quels domaines les RSSI peuvent influencer les budgets et les politiques, et comment donner au conseil davantage de visibilité sur la posture de sécurité de l’entreprise.

Les nouvelles sont bonnes : les RSSI sont en phase avec le conseil sur certaines des problématiques essentielles. Ils sont d’accord sur l’importance de la protection des données sensibles et sur la nécessité d’affûter et développer leurs compétences de leadership.

Mais comme dans toute relation naissante, les deux parties sont encore en train d’apprendre à se connaître. Il ne faut donc pas être surpris que l’apprentissage de ce nouveau rôle de décideur ne se fasse pas sans heurts. Par exemple, lorsqu’il s’agit de définir les objectifs stratégiques du programme de sécurité, 61 % des RSSI qualifient leur relation avec le conseil de très bonne ou d’excellente, alors que cette impression n’est partagée que par 43 % des membres du conseil.

Mais ce n’est pas une fatalité. Le Rapport pour les RSSI de cette année fait la lumière sur une partie du fossé qui sépare les RSSI de leur conseil, et met en avant les bonnes pratiques qui aideront les RSSI à mieux se faire comprendre, à atteindre leurs objectifs et à gagner la confiance des autres membres du conseil.

Jeter un pont entre les priorités, les compétences et les KPI du RSSI et du conseil d’administration 

Lorsqu’une relation repose sur des priorités divergentes, le fossé qui sépare le RSSI de son conseil a toutes les chances de s’élargir si chacun poursuit sa propre trajectoire.

Une grande part des divergences actuelles vient du fait que les membres du conseil et les RSSI ont des parcours très différents. Technologues avant tout, 58 % des RSSI disent que leur équipe et eux consacrent l’essentiel de leur temps à choisir, installer et exploiter des technologies. En revanche, 52 % des membres du conseil pensent que les RSSI passent leurs journées à soutenir les fonctions métiers. Et si les RSSI voient dans l’impact des incidents de sécurité le meilleur indicateur de leur réussite, les conseils les évaluent en fonction de la rentabilité de leurs investissements en sécurité.

Que peuvent faire les RSSI pour réconcilier ces divergences ? S’ils veulent gagner la confiance du conseil, ils doivent faire le lien entre leurs priorités, leurs objectifs et leur temps d’une part, et les revenus et les objectifs de l’entreprise d’autre part. Ils doivent prendre l’initiative d’éclairer les dirigeants sur l’intérêt des métriques de sécurité pour l’entreprise. Ils parviendront ainsi à inscrire leurs objectifs de sécurité dans la mission de l’entreprise et à obtenir les ressources et le soutien dont ils ont besoin. 

Parler le langage du conseil pour obtenir des budgets  

Parmi les compétences les plus utiles à un RSSI, la capacité à demander des budgets suffisants figure en tête de liste. Seuls 29 % des RSSI disent recevoir assez de fonds pour mener à bien leurs initiatives et leurs objectifs. Et il y a de quoi être inquiet, étant donné l’impact qu’exercent les coupures budgétaires sur leur capacité à protéger l’entreprise. Il faut le voir comme une occasion de présenter les initiatives de cybersécurité comme des catalyseurs de croissance pour l’entreprise.

Les membres des conseils affirment qu’ils privilégient la croissance à l’amélioration de la posture de sécurité. Autrement dit, les RSSI doivent voir au-delà des métriques de risque et déterminer l’apport positif d’une solution aux activités au sens large. Il faut donc articuler les coûts potentiels ou inévitables qui découlent de l’absence d’une solution de sécurité ou d’une bonne pratique. Le rapport explique comment les RSSI peuvent défendre de meilleurs budgets de sécurité et recadrer leurs efforts pour présenter un ROI convaincant aux membres du conseil d’administration.

À bien des égards, les RSSI n’ont pas le choix. Toutes les coupures budgétaires, aussi petites soient-elles, peuvent avoir de lourdes conséquences. Par exemple, 18 % des RSSI disent s’être trouvés dans l’impossibilité de soutenir une initiative métier à cause de coupures budgétaires au cours des 12 derniers mois, et 64 % disent que le manque de soutien a facilité une cyberattaque.

Les avantages d’une relation solide entre le RSSI et le conseil d’administration 

N’ayez crainte, la réussite est à portée de main. Quand les RSSI prennent le temps de nouer une relation solide avec leur conseil, les résultats peuvent être extraordinaires. En effet, les RSSI qui entretiennent de bonnes relations avec leur conseil profitent de nombreux bienfaits dont les autres sont plus souvent privés :

• un meilleur alignement entre les priorités de l’équipe de sécurité et celles du conseil (86 % contre 59 %),
  
• plus de facilité à obtenir les budgets nécessaires (69 % contre 57 %),
  
• une meilleure compréhension de la cybersécurité (62 % contre 46 %).
  

Comme toute relation, il faut la cultiver pour qu’elle s’épanouisse. À ce sujet, le RSSI de Splunk, Michael Fanning, conclut d’ailleurs : « En tant que RSSI, nous devons nous efforcer de repenser nos approches pour relever de nouveaux défis et innover ensemble. »

La situation en Europe

Si on les compare à la moyenne mondiale, les RSSI européens sont en meilleure position pour défendre leur fonction de cybersécurité et investir dans des technologies avancées comme l’IA générative. Les conseils d’administration européens sont plus nombreux que les autres à s’être dotés d’un sous-comité axé sur la cybersécurité (55 %).

Malgré cette tendance positive, les RSSI européens ont encore des progrès à faire pour promouvoir leurs initiatives de cybersécurité et augmenter leurs financements. Ils sont moins nombreux (49 %) à déclarer que leur relation de travail avec le conseil d’administration se passe bien.

Cependant, en matière d’adoption de l’IA générative, l’Europe a pris de l’avance. Les entreprises européennes sont en effet 39 % à avoir intégré l’IA à leurs initiatives de cybersécurité, contre 24 % en moyenne dans le monde.

Face aux attaques de rançongiciels, les entreprises européennes sont également mieux protégées. Les victimes d’attaques de ransomware ne sont que 3 % à avoir directement versé la rançon, un chiffre inférieur à la moyenne mondiale.

Recevez votre exemplaire du Rapport pour les RSSI de Splunk pour mieux comprendre le fossé qui sépare les RSSI de leur conseil et apprendre à le combler pour bâtir une relation solide, harmonieuse et fructueuse.