Le rôle du responsable de la sécurité des systèmes d'information (RSSI) n'a jamais été aussi complexe et crucial qu'aujourd'hui. Face à l'augmentation exponentielle des cybermenaces, susceptibles de causer des dommages irréparables à la réputation, à la confiance et aux actifs des organisations, les RSSI doivent se préparer à évoluer dans un environnement de plus en plus complexe et dynamique.
En 2024, le Brésil a enregistré une forte augmentation des cyberattaques. Au premier trimestre, on a constaté une hausse de 38 % par rapport à la même période en 2023, les organisations brésiliennes subissant en moyenne 1 770 attaques par semaine. Au deuxième trimestre, la hausse a été encore plus marquée, atteignant 67 % par rapport à l'année précédente, avec une moyenne de 2 754 attaques hebdomadaires par organisation. Au troisième trimestre, le nombre moyen d'attaques hebdomadaires par organisation au Brésil a atteint 2 766, soit une augmentation de 95 % par rapport à la même période en 2023. Les secteurs les plus ciblés étaient la finance, la santé, l'administration publique et l'énergie, les principaux types d'attaques étant les ransomwares, le phishing, les attaques DDoS et les APT (menaces persistantes avancées).
Les RSSI doivent s'adapter à cette nouvelle ère de cyberattaques sans précédent – en assumant souvent plusieurs rôles simultanément et, dans le cas du Brésil, en gérant un scénario de maîtrise des coûts et d'investissements en cybersécurité.
Le rôle du RSSI moderne.
Le rôle de CISO est relativement récent. Contrairement aux CFO ou aux CEO, la fonction de responsable de la sécurité des systèmes d'information n'existait pas officiellement avant le milieu des années 1990.
Par ailleurs, le rôle du RSSI a constamment évolué au sein des organisations. Selon le rapport 2023 de Splunk sur les RSSI, 90 % des personnes interrogées estimaient que ce rôle était devenu « un métier complètement différent » de celui qu'elles occupaient à leurs débuts.
Si, initialement, le RSSI était chargé d'élaborer des politiques, de définir la gouvernance de la sécurité et de mettre en œuvre des contrôles de sécurité plus élémentaires, ce qui lui conférait une perspective davantage technique que managériale, aujourd'hui, la liste de ses responsabilités s'est considérablement allongée. À titre d'exemple, on peut citer la dimension politique de ce rôle : les RSSI doivent entretenir des relations de travail étroites avec le PDG, le directeur financier et le service juridique de l'entreprise. Le budget alloué à la sécurité est indispensable pour faire face à la multitude de menaces actuelles.
Cela reste un problème pour les entreprises du monde entier, notamment au Brésil. La complexité de la situation réside, d'une part, dans un pays affichant l'un des taux d'attaques les plus élevés au monde. D'autre part, les incertitudes économiques et la fluctuation du dollar (la grande majorité des solutions étant vendues en devises étrangères) obligent les RSSI à optimiser les ressources disponibles pour garantir la protection de l'entreprise.
Bons communicateurs
Contrairement à l'image stéréotypée du RSSI expert en technologie d'autrefois, le RSSI d'aujourd'hui doit assumer un rôle de leader et être un bon communicateur pour mener la création d'une solide culture de cybersécurité au sein de l'entreprise.
Un autre point important est que les RSSI ne peuvent pas gérer seuls la sécurité de l'information. Ils ont besoin du soutien et de la collaboration de l'écosystème externe, qui comprend les fournisseurs, les clients, les partenaires, les organismes de réglementation, les associations professionnelles et les communautés de sécurité. Ces acteurs peuvent apporter des informations, des ressources, des solutions et des bonnes pratiques qui aident les responsables à améliorer et à renforcer la sécurité de leur organisation. Par conséquent, la communication et l'établissement de relations avec le marché sont également fondamentaux.
La sécurité doit être abordée dans une perspective holistique.
Disposer d'outils et de processus de sécurité isolés et réactifs ne suffit pas. Les RSSI ont besoin d'une vision globale et intégrée de la sécurité, englobant tous les aspects, de la culture et de la sensibilisation des employés à la gouvernance et à l'alignement sur les objectifs de l'entreprise.
La sécurité doit être perçue comme un élément transversal et essentiel à la continuité et à la croissance de l'organisation, et non comme un coût ou un obstacle. Pour ce faire, les RSSI doivent impliquer les autres départements et la direction de l'entreprise, démontrer la valeur ajoutée et le retour sur investissement de la sécurité, et établir des politiques et des indicateurs clairs et mesurables.
Un sentiment d'urgence est essentiel pour anticiper les menaces.
Les cybermenaces évoluent et se sophistiquent sans cesse, pouvant toucher toute organisation, quelle que soit sa taille ou son secteur d'activité. Il est donc essentiel de rester informé des tendances et vulnérabilités du marché et d'investir dans des solutions et méthodologies permettant d'anticiper les menaces et les risques.
Une solution consiste à adopter une approche de sécurité intégrée dès la conception, qui prend en compte la sécurité de la conception à la mise en œuvre des produits et services de l'organisation. Une autre solution consiste à réaliser des tests et des simulations périodiques afin d'évaluer l'efficacité et la robustesse des systèmes et processus de sécurité, et d'identifier les pistes d'amélioration et d'atténuation des risques.
Bien que le rôle du RSSI soit encore en pleine transformation, ce professionnel est essentiel à la protection et à l'innovation des organisations à l'ère du numérique. Les RSSI doivent être prêts à faire face à un niveau de menaces sans précédent, ce qui exige une gestion proactive, stratégique et collaborative de la sécurité de l'information.
Enfin, les RSSI doivent garder à l'esprit que la sécurité de l'information n'est pas qu'un simple enjeu technique, mais aussi un facteur de compétitivité et de valeur pour les clients. Ceux qui parviennent à aligner la sécurité sur les objectifs commerciaux et les attentes des parties prenantes, et qui savent communiquer clairement et de manière convaincante les avantages et les défis de la sécurité, seront en mesure de bâtir une culture de sécurité solide et durable au sein de l'organisation et de contribuer à son succès et à sa croissance dans l'environnement numérique.
