Rapport Splunk : les RSSI gagnent en influence au sein des conseils d’administration du monde entier

PARIS – 23 janvier 2025 – Splunk, le leader de la cybersécurité et de l’observabilité, en partenariat avec Oxford Economics, publie aujourd’hui le Rapport pour les RSSI 2025, un rapport d’étude mondiale détaillant les objectifs, les priorités et les stratégies des responsables de la sécurité des systèmes d'information (RSSI) et de leurs conseils d’administration. 

L’influence croissante des RSSI au sein de la direction s’accompagne d’une plus grande implication au sein du conseil d’administration, d’un lien direct avec le PDG et du pouvoir de prendre des décisions stratégiques pour l’organisation. 82 % des RSSI interrogés rendent aujourd’hui directement compte au PDG, contre seulement 47 % en 2023. De plus, 83 % des RSSI participent aux réunions du conseil d’administration assez souvent ou la plupart du temps. Bien que 60 % des RSSI reconnaissent que les membres du conseil d’administration ayant une formation en cybersécurité ont plus d’influence sur les décisions de sécurité, seulement 29 % affirment que leur conseil compte au moins un membre avec une expertise en cybersécurité. 

Michael Fanning, RSSI de Splunk, déclare : « Alors que la cybersécurité joue un rôle de plus en plus central dans la réussite des entreprises, les RSSI et leurs conseils d’administration ont davantage d’occasions de se rapprocher, de coordonner leurs priorités et de mieux se comprendre afin de renforcer la résilience numérique. Pour les RSSI, cela signifie qu’ils doivent comprendre l’activité de leur organisation au-delà de leurs environnements IT et trouver de nouveaux moyens de communiquer le retour sur investissement des initiatives de sécurité à leurs conseils d’administration. Les membres du conseil devront, quant à eux, s’engager à promouvoir une culture axée sur la sécurité et consulter en premier lieu le RSSI lors de la prise de décisions affectant la gouvernance et les risques métiers. Pour concrétiser ce rapprochement, il faut sensibiliser les conseils aux enjeux de la cybersécurité et les RSSI au langage du conseil et aux besoins de l’entreprise tout en présentant la sécurité comme un catalyseur. » 

Shefali Mookencherry, RSSI et responsable de la confidentialité de l’université de l’Illinois à Chicago, affirme : « Diriger et gérer les programmes de cybersécurité et de confidentialité au sein d’un établissement d’enseignement supérieur nécessite une collaboration et une communication étroites avec tous les acteurs, des membres du conseil d’administration aux responsables de la confidentialité, en passant par le personnel, le corps enseignant et les étudiants afin de garantir la prise en compte de la sécurité dans chaque aspect de l’organisation. Alors que leur rôle devient de plus en plus complexe et essentiel à la réussite des organisations, les RSSI doivent être capables de trouver le juste milieu entre les besoins de sécurité et les objectifs et la culture de l’entreprise, en présentant clairement la valeur des investissements de sécurité. En nouant des relations étroites avec les différents services et parties prenantes, les RSSI peuvent proposer des conseils et assurer un encadrement afin de soutenir les programmes de cybersécurité et de confidentialité. » 

Les conséquences de l’alignement des priorités entre les RSSI et le conseil
Les membres du conseil disposant d’une expérience de RSSI affirment entretenir des relations plus étroites avec les équipes de sécurité et se sentent plus confiants quant à la position de sécurité de leur organisation. Ils s’inquiètent beaucoup moins que les autres membres du conseil que l’entreprise n’en fasse pas assez pour se protéger (37 % contre 62 % en moyenne selon l’étude). 

Les membres de conseils d’administration ont qualifié de très bonnes ou d’excellentes les relations de travail entre les RSSI et le conseil dans les domaines suivants :

• alignement sur les objectifs stratégiques de sécurité (80 % pour les conseils avec un RSSI contre 27 % pour les conseils sans RSSI),
• communication de l’avancement des initiatives de sécurité (60 % pour les conseils avec un RSSI contre 16 % pour les conseils sans RSSI),
• établissement d’un budget suffisant pour atteindre les objectifs de sécurité (50 % pour les conseils avec un RSSI contre 24 % pour les conseils sans RSSI). 

Les RSSI entretenant de bonnes relations avec les autres membres du conseil d’administration font également état de partenariats particulièrement solides avec les opérations informatiques (82 % contre 69 % des autres RSSI) et l’ingénierie (74 % contre 63 %). Ils ont également plus souvent la possibilité d’étudier des applications de l’IA générative, notamment pour créer des règles de détection des menaces (43 % contre 31 % des autres RSSI), analyser des sources de données (45 % contre 28 %), répondre aux incidents et investiguer (42 % contre 29 %), et rechercher proactivement les menaces (46 % contre 28 %). 

Combler le fossé entre RSSI et conseil : priorités, compétences et mesure de la réussite
Si les RSSI et les conseils d’administration affirment être davantage coordonnés sur les priorités en matière de sécurité, des écarts subsistent. Voici quelques-unes des plus grandes divergences de priorités entre les RSSI et les conseils d’administration :

• innovation grâce aux technologies émergentes (52 % des RSSI estiment que c’est une priorité contre 33 % des membres du conseil),
• perfectionnement ou reconversion des employés de sécurité (51 % des RSSI contre 27 % des membres du conseil),
• contribution aux initiatives de croissance des revenus (36 % des RSSI contre 24 % des membres du conseil). 

Les conseils d’administration attendent des RSSI qu’ils développent de nouvelles compétences afin de devenir de meilleurs dirigeants. Cependant, apprendre de nouvelles compétences ne fait qu’ajouter à la complexité du travail du RSSI, 53 % d’entre eux affirmant que leurs responsabilités et les attentes vis-à-vis de leur rôle se sont alourdies depuis leur prise de fonction. Lorsque l’on demande aux RSSI et aux membres du conseil quelles sont les compétences à développer en priorité pour les RSSI, les plus grands écarts concernent :

• le sens des affaires (55 % pour les membres du conseil contre 40 % pour les RSSI),
• l’intelligence émotionnelle (45 % pour les membres du conseil contre 35 % pour les RSSI),
• la communication (52 % pour les membres du conseil contre 47 % pour les RSSI),
• les connaissances en matière de réglementation et de conformité (44 % pour les membres du conseil contre 57 % pour les RSSI). 

Bien que les conseils d’administration et les RSSI s’accordent sur l’importance des principaux KPI de cybersécurité, 79 % des RSSI affirment que les KPI de leurs équipes de sécurité ont considérablement changé au cours des dernières années. 46 % des RSSI expliquent qu’atteindre les jalons des différentes initiatives de sécurité est un indicateur de réussite, contre seulement 19 % des membres de conseils. 

Assurer la conformité est essentiel
Les environnements réglementaires sont devenus plus complexes, ramifiés et punitifs. Ils exigent un signalement plus rapide des incidents et font peser davantage de responsabilités sur les épaules des RSSI. Seuls 15 % des RSSI classent l’état de conformité parmi les principaux KPI, contre 45 % des membres du conseil : l’écart est considérable. 21 % des RSSI avouent avoir subi des pressions visant à les empêcher de signaler un problème de conformité. Cependant, 59 % d’entre eux expliquent qu’ils lanceraient l’alerte si leur entreprise ne respectait pas ses exigences de conformité. 

Les coupures budgétaires ont des conséquences importantes
Les budgets de cybersécurité traduisent des incohérences et un manque d’alignement. En effet, seuls 29 % des RSSI déclarent recevoir un budget adapté à leurs initiatives de cybersécurité et à leurs objectifs, alors que 41 % des membres du conseil pensent que les budgets de cybersécurité sont suffisants. 

64 % des RSSI craignent de ne pas en faire assez dans le contexte réglementaire et le paysage des menaces d’aujourd’hui. 18 % des RSSI révèlent qu’ils se sont retrouvés dans l’impossibilité de soutenir une initiative métier en raison de coupures budgétaires au cours de l’année écoulée et 64 % affirment que ce manque de soutien a abouti à une cyberattaque. 

Les RSSI ont également signalé la réduction du nombre de solutions et d’outils de sécurité (50 %), le gel des recrutements dans le domaine de la sécurité (40 %) et la réduction ou la suppression des formations de sécurité (36 %) parmi les principales mesures de réduction des coûts. 

94 % des RSSI déclarent avoir subi une cyberattaque perturbatrice. 55 % d’entre eux disent en avoir fait l’expérience au moins quelques fois, et 27 % confient que cela s’est produit plusieurs fois.  

Pour télécharger le Rapport pour les RSSI 2025, veuillez vous rendre sur le site web de Splunk. 

Méthodologie
Cette étude mondiale a été menée de juin à juillet 2024 en partenariat avec Oxford Economics. Nous avons interrogé 600 participants (500 RSSI, directeurs de la sécurité ou responsables de la sécurité équivalents et 100 membres de conseils d’administration). Les participants incluent des RSSI s’identifiant comme membres du conseil d’administration. Les participants à l’étude viennent de 10 pays : Australie, France, Allemagne, Italie, Inde, Japon, Nouvelle-Zélande, Singapour, Royaume-Uni et États-Unis. Ils sont également issus de 16 secteurs d’activité : agriculture, services aux entreprises, bâtiment/ingénierie, éducation, énergie et services publics, gouvernement, soins de santé, sciences de la vie, services d’information, technologie, fabrication, retail, biens de consommation, télécommunications et médias et communication. Oxford Economics a également mené huit entretiens approfondis avec des RSSI et des membres de conseils d’administration afin d’obtenir des informations qualitatives.