> Sécurité > Le temps où le RSSI était tenu pour seul responsable est révolu – la responsabilité incombe désormais à toute l’entreprise

Le temps où le RSSI était tenu pour seul responsable est révolu – la responsabilité incombe désormais à toute l’entreprise

Sécurité - Par IT Pro Magazine - Publié le 01 avril 2025
email

Aujourd’hui, la responsabilité en matière de cybersécurité et de résilience des données ne peut plus reposer uniquement sur les épaules du RSSI.

Le temps où le RSSI était tenu pour seul responsable est révolu – la responsabilité incombe désormais à toute l’entreprise

Andre Troskie, EMEA Field CISO chez Veeam analyse le sujet.

Les nouvelles réglementations européennes, telles que la directive NIS2 et le règlement DORA, remettent la responsabilité des entreprises au premier plan et tiennent désormais pour responsable l’ensemble de leur équipe de direction.

Les conseils d’administration doivent donc être sensibilisés collectivement aux cybermenaces, car ils risquent désormais d’être appelés à répondre de tout incident de cybersécurité qui se produirait sous leur surveillance – et peuvent également être sanctionnés de manière individuelle, au même titre que l’ensemble de l’entreprise, en cas de non-conformité.

En dépit de cette situation, la sensibilisation à la responsabilité des entreprises est encore trop peu présente – en majeure partie, car les dirigeants d’entreprise n’agissent pas assez vite. Après tout, il ne sert à rien d’être sensibilisé à un problème si rien n’est mis en place pour le résoudre. En outre, 95 % des entreprises de la région EMEA ont, à elles seules, siphonné des budgets initialement consacrés à d’autres projets afin de se conformer aux lois en vigueur. Si l’urgence se fait clairement ressentir, les dirigeants, en revanche, peinent à rattraper leur retard et à opérer des changements concrets.

Andre Troskie, EMEA Field CISO chez Veeam

Redéfinir les priorités

NIS2 et DORA ont inauguré une nouvelle ère de responsabilité des entreprises, en l’inscrivant dans la réglementation à un niveau jamais atteint dans le domaine de la cybersécurité– et ce, à juste titre. Au cours des deux dernières décennies, la plupart des métiers ont évolué vers le numérique. Cela a contribué à créer une source de données à la croissance exponentielle, que les entreprises sont tenues de gérer et, plus important encore, de protéger. La cybersécurité est ainsi devenue un enjeu vital pour les entreprises, au même titre que n’importe quel autre aspect de son activité ; c’est donc tout naturellement qu’elle doit relever de la responsabilité de l’équipe de direction.

Ces réglementations ne font que formaliser ce qui aurait dû se produire au sein des entreprises. Cependant, pour la plupart d’entre elles, la cybersécurité et la résilience étaient encore reléguées au second plan, car les dirigeants ont toujours choisi de laisser la cybersécurité entre les mains de leurs équipes de sécurité – en particulier, car sa valeur commerciale peut parfois être difficile à percevoir. Le fait de faire preuve de davantage de résilience et d’être capable de se remettre plus rapidement d’une cyberattaque permettra de minimiser les dégâts encourus par les entreprises, notamment en termes de cours des actions, de chiffre d’affaires et de confiance des clients.  À mesure que les dirigeants sont davantage informés sur le sujet grâce à ces réglementations, ces avantages à long terme devraient contribuer à redéfinir les priorités des entreprises – sans compter la pression supplémentaire exercée par le risque de non-conformité.

Bien que ces pressions aient permis d’améliorer le taux d’adhésion des dirigeants en matière de responsabilité d’entreprise, le niveau d’implication demeure insuffisant. La grande majorité des entreprises de la région EMEA se sont appropriées les budgets d’autres sources pour se conformer à la directive NIS2 et, même si les dirigeants perçoivent clairement la nécessité de respecter ces réglementations, ils ne disposent toujours pas d’une stratégie commune pour y parvenir. Cette situation s’explique en partie par l’immense courbe d’apprentissage que de nombreux dirigeants d’entreprise doivent suivre. Aujourd’hui, une chose est certaine : la cybersécurité n’est pas une mince affaire et, pour la comprendre pleinement, les dirigeants doivent se plonger au cœur du sujet.

Sauter le pas

Pour les dirigeants qui souhaitent pleinement comprendre l’étendue de leurs responsabilités dans cette nouvelle ère, ils doivent impérativement tester la fiabilité des plans de réponse aux incidents de leur organisation. Les mêmes réglementations qui l’exigent requièrent également un respect cohérent de la conformité, qui ne doit pas être perçu comme une simple case à cocher. Les dirigeants devront donc être en mesure de démontrer que les plans de réponse aux incidents de leur entreprise fonctionnent en conditions réelles, grâce à des tests effectués lors de scénarios cohérents et rigoureux. Il ne s’agit pas d’une simple formule que les dirigeants peuvent facilement mémoriser et réciter lorsque l’occasion se présente : ils doivent pouvoir l’appliquer de manière concrète. 

Pour autant, ces réglementations n’exigent pas que les dirigeants deviennent des spécialistes de la cybersécurité du jour au lendemain ! Ils doivent surtout connaître les plans de réponse aux incidents existants au sein de leur entreprise. Par exemple, dans le cas de la sécurité physique, les dirigeants n’ont pas besoin de connaître les tenants et les aboutissants de leurs systèmes d’alarme incendie. Ils ont seulement besoin de savoir que leur entreprise dispose de tels systèmes, qu’ils fonctionnent et quelles personnes sont chargées de les entretenir. Ils ne sont donc pas tenus de devenir des experts en matière de sécurité incendie, mais simplement de savoir vers qui se tourner le cas échéant, qui sont les personnes chargées de les remplacer et de s’assurer que tous les exercices nécessaires ont lieu pour être dûment préparés.

En cybersécurité, les plans de réponse aux incidents suivent une philosophie similaire et la conformité aux lois NIS2 et DORA dépend de leur robustesse : c’est précisément là que les dirigeants doivent concentrer leurs efforts. En disposant d’une compréhension pratique de ces plans, ils peuvent ainsi identifier et corriger les points faibles de l’entreprise, qu’il s’agisse de mettre en place de nouveaux processus ou d’intégrer de nouvelles compétences externes dans leurs effectifs.

Aborder l’avenir

À l’instar de ces réglementations, le paysage de la cybersécurité exige une conformité cohérente et des tests fréquents fondés sur des scénarios de simulation de crise. Étant donné que les vulnérabilités et les surfaces d’attaque changent de jour en jour, les plans de réponse aux incidents doivent être capables de suivre le rythme. En s’appuyant sur les exigences de ces réglementations, les dirigeants ont ainsi une parfaite occasion de développer une culture de la sécurité et de la résilience des données qui leur soit propre.

S’il est tout à fait possible d’être parfaitement conforme aux nouvelles exigences réglementaires, il est en revanche impossible d’être complètement en sécurité. En l’absence de résilience de données et de mesures de protection telles que des sauvegardes, les dirigeants d’entreprise ne seront pas complètement en mesure de se relever à la suite d’une cyberattaque, quel que soit leur degré de conformité.

Téléchargez cette ressource

Prédictions 2025 des menaces persistantes avancées

Prédictions 2025 des menaces persistantes avancées

L'analyse et l'évolution du paysage des menaces persistantes avancées (APT) et des conséquences sur vos infrastructures IT. Découvrez la synthèse des prédictions, tendances et recommandations pour 2025 avec les experts Kaspersky.

Sécurité - Par IT Pro Magazine - Publié le 01 avril 2025