Ce que les dirigeants attendent vraiment de leur RSSI

La cybersécurité est devenue un risque majeur pour les entreprises.

Pendant trop longtemps, la cybersécurité a été considérée comme une simple fonction technique, un élément de la liste de contrôle informatique avec les pare-feu, les logiciels antivirus et quelques protocoles internes. Cette façon de penser est dépassée. Aujourd’hui, la cybersécurité affecte directement les finances, les opérations, la réputation et la viabilité à long terme de votre entreprise. Il ne s’agit plus de protéger l’infrastructure. Il s’agit de protéger l’ensemble de l’entreprise.

Lorsque les cybermenaces pénètrent les systèmes, elles ne se contentent pas d’exposer les données, elles font dérailler les opérations, érodent la confiance des clients et perturbent les résultats. Par conséquent, si vous traitez la cybersécurité comme une question secondaire, vous êtes déjà en retard. Le risque cybernétique est un risque commercial. C’est aussi simple que cela.

Les dirigeants, en particulier les RSSI, doivent modifier leur mode de communication. Parlez le langage du risque commercial, et pas seulement celui de la technologie. Expliquez les cybermenaces en termes de pertes financières, de plans stratégiques compromis ou de sanctions réglementaires encourues. C’est ce que les conseils d’administration comprennent. C’est ainsi que vous pourrez mener des actions concrètes.

Jayant Dave, responsable de la sécurité de l’information pour Check Point en Asie-Pacifique, a déclaré que cette évolution constituait le nouveau défi pour les responsables de la sécurité. Il a raison. Comprendre l’activité de l’entreprise et communiquer sur les cybermenaces en termes d’activité n’est plus facultatif, c’est essentiel.

Il est désormais fondamental que les responsables de la sécurité fassent le lien entre les risques opérationnels, les risques de réputation, les risques stratégiques et les risques financiers. Si vous n’y parvenez pas, personne au sommet de la hiérarchie ne vous écoutera. Et s’ils n’écoutent pas, la position de risque de votre entreprise reste faible.

Il est essentiel d’établir une communication entre les responsables techniques et les dirigeants d’entreprise.

Lorsque les cybermenaces s’intensifient, les conseils d’administration ne demandent pas les journaux des correctifs, ils demandent comment l’entreprise est affectée. Et ils veulent des réponses rapides. Cela signifie que vos responsables technologiques et commerciaux doivent être sur la même longueur d’onde. Pas de silos. Pas de retard de traduction.

En Australie, la pression réglementaire augmente. L’Autorité australienne de régulation prudentielle (APRA) a introduit la norme CPS 234, qui exige que le conseil d’administration comprenne et gère les cyberrisques. Il ne s’agit pas seulement de conformité. C’est une question d’intelligence économique. Les gouvernements préconisent un modèle dans lequel les responsables techniques doivent parler le langage des affaires, et les dirigeants doivent comprendre les décisions en matière de sécurité. Ce tissu conjonctif est le moteur d’un investissement intelligent dans les mesures de protection, lorsqu’elles sont réellement nécessaires.

Jayant Dave le souligne clairement. Pour des investissements tels que l’architecture zéro confiance ou les services d’accès sécurisés (SASE), les conseils d’administration doivent s’assurer que ces investissements répondent à un risque qui dépasse la capacité de l’entreprise à faire face à des perturbations ou à des pertes. Dans les secteurs réglementés, cette discussion est déjà en cours.

Mais dans les espaces moins réglementés, le commerce de détail, certains secteurs manufacturiers, cette prise de conscience est souvent à la traîne. Les RSSI peinent à obtenir un budget, non pas parce que les menaces n’existent pas, mais parce que le conseil d’administration n’en comprend pas la pertinence. Il s’agit là d’un manque de leadership. Si vous occupez un poste de direction dans l’un de ces secteurs, il n’est pas seulement judicieux d’insister sur un alignement plus étroit, c’est aussi votre responsabilité.

Faites participer vos responsables techniques à des réunions d’affaires. Faites en sorte que vos chefs d’entreprise posent les bonnes questions en matière de sécurité. Les entreprises qui survivront à la prochaine vague de menaces de cybersécurité intègrent déjà cette collaboration dans leur architecture décisionnelle. Ne restez pas à la traîne.

Les cadres normatifs sont essentiels pour aligner les cyber-risques sur les exigences commerciales et réglementaires.

Si vous voulez vraiment gérer le cyber-risque à grande échelle, vous devez vous aligner, en interne et avec les régulateurs. C’est à cela que servent les cadres. Ils apportent une structure, un langage commun et des attentes cohérentes. L’objectif n’est pas seulement la conformité. Il s’agit de clarté à l’échelle de l’organisation et d’efficacité opérationnelle.

Les cadres tels que le Cybersecurity Framework (CSF) 2.0 du National Institute of Standards and Technology et le CRI Profile 2.1 du Cyber Risk Institute sont des outils qui transforment le risque en quelque chose de mesurable, de communicable et d’actionnable. Les conseils d’administration et les autorités de réglementation respectent ces modèles car ils proposent des normes communes qui réduisent l’ambiguïté. Lorsque vous les utilisez, vous vous exprimez déjà dans un langage auquel le conseil d’administration et les autorités de réglementation peuvent répondre.

Jayant Dave l’a dit clairement : l’utilisation de CRI n’est pas seulement utile pour la gestion interne des risques, elle vous place également sur une base solide avec les régulateurs. L’autorité monétaire de Hong Kong (HKMA), par exemple, a déjà commencé à reconnaître CRI comme l’un de ses cadres de référence. C’est un signal fort. Si vous vous alignez sur CRI, vous vous alignez sur vos régulateurs, ce qui élimine les frictions.

La structure fournie par ces cadres permet également de donner la priorité à ce qui est vraiment important. Au lieu de lutter contre toutes les menaces de la même manière, vous concentrez vos efforts sur les risques les plus importants pour l’entreprise. C’est ainsi que les vrais dirigeants agissent, en se basant sur les priorités et non sur la panique.

Si vous n’adoptez pas un cadre structuré pour guider les décisions en matière de cybersécurité, vous faites des évaluations basées sur des suppositions. Et ce n’est pas du leadership. C’est du risque.

Il est essentiel de donner la priorité à l’expérience de l’utilisateur lors de la mise en œuvre des mesures de sécurité.

L’expérience de l’utilisateur est importante, même en matière de cybersécurité. Si vos protocoles de sécurité compliquent la tâche des employés, ils trouveront des moyens de contourner le système. Ce n’est pas de la spéculation. C’est le comportement humain. Et lorsque des solutions de contournement commencent à être trouvées, votre posture de sécurité s’affaiblit de l’intérieur, même si vos contrôles externes sont stricts.

Les responsables de la sécurité doivent concevoir des systèmes qui sont sécurisés sans créer de frictions inutiles dans les flux de travail quotidiens. Pour cela, il faut aller au-delà des spécifications techniques. Il faut comprendre comment les gens travaillent, quels outils ils utilisent et quels processus ils suivent naturellement.

Jayant Dave a soulevé un point important : l’innovation en matière de cybersécurité ne consiste pas seulement à renforcer le cryptage ou à mettre au point de nouvelles technologies. Il s’agit parfois d’assurer la sécurité sans perturber le fonctionnement de l’entreprise. Lorsque les employés se sentent ralentis ou limités, la productivité diminue et les risques augmentent. Vous devez donc faire preuve de discernement. Mettez en place des contrôles qui ne gênent pas, sinon ils seront ignorés.

Les dirigeants doivent s’engager très tôt dans ces conversations. La sécurité n’est pas seulement une décision informatique, c’est aussi une décision relative à l’expérience de l’utilisateur. Et tout système que les gens n’utilisent pas correctement est une vulnérabilité. Approuvez les solutions qui trouvent le bon équilibre. Rejetez celles qui ne tiennent pas compte de la manière dont les équipes travaillent réellement.

Si les employés évitent les contrôles parce que l’expérience est défaillante, le système n’est pas sûr. Il échoue discrètement. Et c’est à ce moment-là que les violations se produisent.

L’intégration de responsables de la gestion des risques dans les différentes unités opérationnelles améliore la gestion intégrée des risques.

Dans les grandes organisations complexes, le cyber-risque ne passe pas par un canal unique. Chaque unité opérationnelle a son propre profil de risque, façonné par ses opérations spécifiques, ses systèmes et l’exposition de ses clients. Traiter le risque du haut vers le bas ne suffit pas. La bonne approche est intégrée et non centralisée.

Jayant Dave souligne clairement l’avantage de disposer d’un Chief Risk Officer, ou d’un conseiller principal comparable, au sein de chaque unité opérationnelle. Lorsque ces responsables font partie du flux de travail opérationnel, ils peuvent influencer les décisions avant que le risque n’apparaisse à la surface. Ils comprennent directement le contexte de l’entreprise et parlent le langage auquel les dirigeants de l’unité réagissent.

Il ne s’agit pas seulement de faire respecter les règles. Il s’agit d’une coordination plus étroite. Lorsque les équipes de sécurité et les équipes commerciales interagissent quotidiennement, les problèmes sont identifiés plus tôt. Le risque n’est pas cloisonné. Il est géré à la source. Les dirigeants bénéficient d’une visibilité plus précise, de temps de réponse plus rapides et d’une prise de décision plus éclairée.

Pour les dirigeants de niveau C, le message est simple : si votre direction de la sécurité est trop éloignée du lieu où sont prises les décisions commerciales, les risques ne seront pas gérés. En intégrant l’expertise en matière de risques au niveau de l’unité, vous créez un alignement plus étroit entre la stratégie de cybersécurité et l’exécution des activités dans le monde réel. C’est là que les performances s’améliorent.

Les centres de fusion favorisent une gestion cohérente des risques grâce à une collaboration interdisciplinaire

Gérer les cybermenaces de manière isolée n’est plus efficace. Les problèmes cybernétiques affectent à la fois les domaines juridique, financier, opérationnel et les relations avec les clients. C’est pourquoi les centres de fusion sont importants. Ils rassemblent des perspectives qui fonctionnent généralement en vase clos.

Jayant Dave le dit clairement : les bons cyberdéfenseurs comprennent l’aspect technique. Mais vous avez également besoin de personnes qui connaissent la fraude, la conformité, l’exposition juridique et les opérations commerciales. Ils voient comment les risques se développent à plusieurs niveaux. Et lorsque ces perspectives se rencontrent régulièrement, quotidiennement, hebdomadairement ou mensuellement, l’organisation réagit plus rapidement et de manière plus cohérente.

Les centres de fusion utilisent des taxonomies de risques communes. C’est là que se produit le véritable alignement. Tout le monde décrit le risque de la même manière, mesure la probabilité et l’impact à l’aide de paramètres communs et hiérarchise les réponses en fonction de l’impact sur l’entreprise, et pas seulement de la gravité technique.

Les cyber-exercices organisés dans ces centres vont au-delà des exercices techniques. Ils posent des questions plus importantes. Le client a-t-il été touché ? L’infrastructure critique a-t-elle été touchée ? Quelle est la perte commerciale ? Ces informations déterminent l’orientation des investissements futurs et la manière dont les équipes réagissent dans des situations de forte pression.

Si vous dirigez une grande organisation ou une organisation à haut risque et que vous n’avez pas mis en place une telle structure, vous n’avez pas une vue d’ensemble. Il vous manque la partie où la cybersécurité devient une stratégie. Et sans une vision connectée, votre capacité à diriger en cas de crise est limitée.

La cyber-résilience exige une préparation permanente allant au-delà de la simple prévention

La prévention est importante. Mais se concentrer uniquement sur l’arrêt des attaques est trop limité. Ce qui compte tout autant, voire plus, c’est la rapidité avec laquelle vous réagissez et la manière dont vous vous rétablissez lorsque quelque chose tourne mal. C’est ce qu’on appelle la résilience.

La prévention est la première étape, mais la capacité de réaction et de récupération en cas de crise détermine si votre entreprise reste opérationnelle ou non. Vous devez effectuer des exercices de manière répétée. Révisez souvent les plans de réponse aux crises. Apportez rapidement des ajustements en fonction de ce que vous apprenez, pas seulement une fois par an, mais au fur et à mesure que les conditions changent.

L’intelligence est importante dans ce domaine. Des plateformes comme ThreatCloud de Check Point aident à prédire les types d’attaques qui peuvent frapper vos systèmes. Ce n’est pas de la théorie, c’est de la proactivité. Le fait de savoir ce qui pourrait arriver améliore votre capacité à configurer les systèmes, à corriger les vulnérabilités et à préparer votre équipe.

Les attaques d’ingénierie sociale sont de plus en plus sophistiquées, et Dave a fait un rappel concret : même les protections les plus avancées peuvent être contournées lorsqu’un être humain fait un mauvais choix. Lorsque cela se produit, c’est le processus de réponse qui déterminera le résultat. La vitesse d’exécution, la coordination et l’apprentissage permanent réduisent les risques futurs. C’est sur la façon dont vous réagissez en temps réel que vous bâtissez votre réputation.

Si vous ne soumettez pas régulièrement vos systèmes et votre personnel à des tests de résistance, vous les exposez à l’échec lorsque les enjeux sont élevés. Ce niveau de préparation n’est pas facultatif, il s’agit d’une norme minimale.

L’intelligence artificielle est un outil précieux, mais elle ne remplace pas la responsabilité humaine.

L’IA est rapide. Elle est évolutive. Elle peut détecter et signaler les menaces plus rapidement que la plupart des équipes humaines. Mais elle ne remplace pas pour autant la prise de décision des experts. C’est un outil, pas un substitut au leadership.

Même avec l’IA en jeu, la responsabilité finale incombe toujours aux RSSI et aux parties prenantes de l’entreprise. Les régulateurs et les actionnaires ne veulent pas entendre ce que l’algorithme a dit. Ils veulent savoir ce que les dirigeants ont fait.

C’est essentiel, surtout en cas d’incident à évolution rapide. L’IA peut vous dire que quelque chose est en train de se produire ou vous suggérer des solutions possibles. Mais décider ce qui est en danger, ce qui doit être prioritaire et comment communiquer en interne ou avec les clients, c’est une question de jugement. Ce sont des personnes qui les prennent, pas des machines.

Pour utiliser efficacement l’IA, les entreprises ont besoin de talents qui comprennent ce que les algorithmes produisent et comment agir sur eux. Il n’y a pas de raccourci possible. Si vous vous appuyez trop fortement sur la technologie sans développer les capacités humaines qui l’accompagnent, votre système de réponse sera incomplet.

Investissez dans l’IA. Mais investissez également dans des personnes dotées du jugement et de l’expérience nécessaires pour l’appliquer. Aucune autorité de régulation n’acceptera que l’IA justifie un échec. Et ils ne devraient pas le faire.

La maturité en matière de cybersécurité varie d’un secteur à l’autre et expose à des vulnérabilités spécifiques

La maturité en matière de cybersécurité n’est pas uniformément répartie. Alors que les gouvernements et les industries hautement réglementées sont généralement bien préparés, d’autres secteurs restent à la traîne. Cela crée des faiblesses structurelles. Les attaquants ne cherchent pas la difficulté, ils cherchent les lacunes. Ils les trouvent dans les secteurs insuffisamment préparés, où la cyberhygiène est faible et où des technologies dépassées sont encore utilisées.

Jayant Dave a souligné que certains organismes de soins de santé utilisent encore des systèmes tels que Windows XP. Ce n’est pas seulement obsolète, c’est aussi peu sûr de par sa conception. Ces lacunes persistent même lorsque les dirigeants sont conscients des risques, souvent en raison de budgets limités ou de l’absence de priorités claires. La sensibilisation n’est pas synonyme de préparation.

Cela est important au niveau du conseil d’administration. Si vous travaillez dans un secteur moins réglementé ou si vous êtes à la tête d’une entreprise de taille moyenne, vous pouvez penser que vous êtes une cible moins probable. Ce n’est pas ainsi que pensent les attaquants. Ils exploitent les points d’entrée faciles, et ceux-ci se trouvent souvent là où les budgets sont serrés ou là où les systèmes existants restent actifs.

En tant que dirigeant, votre responsabilité est de veiller à ce que, même avec des ressources limitées, le niveau de base de la cybersécurité soit atteint. Cela inclut les mises à jour des systèmes, le contrôle d’accès et la formation du personnel, autant d’éléments essentiels qui réduisent la probabilité d’une violation. Une sécurité mature n’est pas toujours une question d’argent. Il s’agit de mettre en place les bonnes bases et d’apporter des améliorations rapides là où le risque est le plus élevé.

Il est impératif de renforcer les pratiques fondamentales en matière de cybersécurité avant de déployer des technologies avancées.

Lorsque vos systèmes sont obsolètes ou non corrigés, la superposition d’outils de sécurité avancés ne résoudra pas le problème, elle l’amplifiera. Avant de déployer l’IA ou des contrôles complexes dans le cloud, les organisations doivent établir un noyau sécurisé. Cela signifie des configurations strictes, des systèmes codés en toute sécurité et des environnements d’exploitation correctement entretenus.

Jayant Dave a souligné que ces pratiques fondamentales ne nécessitent pas de gros investissements. Elles sont réalisables quelle que soit la taille de l’entreprise. Les processus de construction sécurisés, la gestion de la configuration et la correction des vulnérabilités sont tous à portée de main si les dirigeants les considèrent comme des exigences de base.

Pour les dirigeants, le message est direct : n’approuvez pas les dépenses de cybersécurité de haut niveau si l’hygiène informatique de base n’a pas été prise en compte. Ce type d’investissement ne donnera pas les résultats escomptés et entraînera un gaspillage de ressources. Commencez par des bases de sécurité mesurables et applicables. Ensuite, passez à l’échelle supérieure.

Les outils avancés étendent les capacités, mais ne corrigent pas les faiblesses fondamentales. Des fondations solides donnent un sens à l’innovation en matière de sécurité. Tout ce qui ne l’est pas introduit des risques inutiles, même de la part de systèmes censés améliorer la protection.

Si votre organisation prévoit d’étendre son utilisation du cloud, de l’IA ou de numériser davantage d’infrastructures, la préparation fondamentale est la première étape. Si vous ne le faites pas, vous créerez des vulnérabilités, et non de la résilience.

L’externalisation stratégique peut être une solution efficace pour les organisations qui ne disposent pas de capacités internes en matière de sécurité.

Toutes les entreprises ne sont pas en mesure de construire et de gérer un centre d’opérations de sécurité (SOC) à grande échelle. Les budgets, les effectifs et les capacités techniques varient selon les secteurs et la taille des entreprises. Mais la nécessité d’une surveillance des menaces en temps réel et d’une protection réactive ne disparaît pas simplement parce que les ressources internes sont limitées. Vous avez toujours besoin d’une couverture.

Jayant Dave l’a clairement souligné : lorsque les opérations internes ne peuvent répondre aux exigences actuelles en matière de cyberrisques, il est judicieux de faire appel à un partenaire stratégique. L’externalisation auprès d’un fournisseur crédible et aligné permet à votre entreprise d’accéder à l’expertise, à une surveillance permanente et à des ressources évolutives, sans les coûts et le temps nécessaires pour tout mettre en place en interne.

Pour les dirigeants, cela signifie qu’il faut évaluer les options non seulement en fonction du coût, mais aussi en fonction de l’adéquation, des résultats et de l’alignement à long terme sur votre stratégie de gestion des risques. Vous ne pouvez pas externaliser la cyber-responsabilité. Elle reste du ressort de l’entreprise. Mais vous pouvez externaliser la capacité si le partenaire comprend votre profil de menace et vos objectifs commerciaux.

Choisissez des partenaires qui font preuve de transparence, de mesures et de capacité d’intégration avec vos systèmes internes. Ne faites pas votre choix sur la seule base de la reconnaissance de la marque. Ce dont vous avez besoin, c’est d’une performance constante, d’une réponse rapide et d’une responsabilité partagée.

Le risque de ne rien faire ou d’essayer de s’en sortir avec une couverture interne limitée est beaucoup plus élevé. Les menaces évoluent trop rapidement pour les modèles réactifs. L’externalisation stratégique permet aux entreprises de taille moyenne et à celles dont les ressources sont limitées de rester dans la course grâce à une défense proactive.

Si la mise en place d’un SOC en interne n’est pas réaliste pour vos activités actuelles, l’externalisation est l’étape suivante. Mais seulement si le partenariat est stratégique et non transactionnel.

En conclusion

La cybersécurité n’est plus séparée de l’entreprise. Elle conditionne le chiffre d’affaires, la confiance dans la marque, la continuité des opérations et la confiance des parties prenantes. Si vous êtes à la tête de l’entreprise, vous n’avez pas besoin de maîtriser les détails techniques, vous devez comprendre l’impact du cyberrisque sur votre activité et donner aux bonnes personnes les moyens d’agir de manière décisive.

Il ne s’agit pas d’acheter plus d’outils. Il s’agit de prendre des décisions plus intelligentes. Aligner la stratégie de sécurité sur les priorités de l’entreprise. En donnant à votre RSSI un siège à la table. Poser les bonnes questions. Renforcer vos fondations avant de passer à l’échelle supérieure. Trouver un équilibre entre le contrôle et la convivialité. Savoir quand construire et quand s’associer.

Les entreprises qui y parviendront ne se contenteront pas de survivre, elles devanceront leurs concurrents qui traitent encore la sécurité comme une case à cocher informatique. La clarté des risques permet de mieux juger. Et un meilleur jugement permet d’obtenir de meilleurs résultats. C’est là qu’intervient le leadership. Il l’a toujours fait.

Alexander Procter

août 19, 2025

19 Min

Tendances sectorielles
Le défi des géants tech américains face aux lois européennes
Août 22, 2025
11 min
Tendances sectorielles
Ce que le secteur de la santé change face aux cybermenaces
Août 22, 2025
9 min
Tendances sectorielles
Rançongiciels le Royaume-Uni reste le plus lourdement affecté
Août 22, 2025
12 min

Ce que les dirigeants attendent vraiment de leur RSSI

La cybersécurité est devenue un risque majeur pour les entreprises.

Il est essentiel d’établir une communication entre les responsables techniques et les dirigeants d’entreprise.

Les cadres normatifs sont essentiels pour aligner les cyber-risques sur les exigences commerciales et réglementaires.

Il est essentiel de donner la priorité à l’expérience de l’utilisateur lors de la mise en œuvre des mesures de sécurité.

L’intégration de responsables de la gestion des risques dans les différentes unités opérationnelles améliore la gestion intégrée des risques.

Les centres de fusion favorisent une gestion cohérente des risques grâce à une collaboration interdisciplinaire

La cyber-résilience exige une préparation permanente allant au-delà de la simple prévention

L’intelligence artificielle est un outil précieux, mais elle ne remplace pas la responsabilité humaine.

La maturité en matière de cybersécurité varie d’un secteur à l’autre et expose à des vulnérabilités spécifiques

Il est impératif de renforcer les pratiques fondamentales en matière de cybersécurité avant de déployer des technologies avancées.

L’externalisation stratégique peut être une solution efficace pour les organisations qui ne disposent pas de capacités internes en matière de sécurité.

En conclusion

Le défi des géants tech américains face aux lois européennes

Ce que le secteur de la santé change face aux cybermenaces

Rançongiciels le Royaume-Uni reste le plus lourdement affecté

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !