Management

DSI/RSSI, un partenariat essentiel pour équilibrer croissance et maîtrise des risques

Le partenariat étroit entre DSI et RSSI doit déboucher sur un meilleur équilibre entre objectifs métiers et exigences de sécurité. (Photo : Charlesdeluvio/Unsplash)

L'augmentation des menaces de cybersécurité et la complexité de la conformité réglementaire poussent DSI et RSSI, ainsi que leurs équipes, à collaborer plus étroitement. Marquant également une évolution significative du rôle de responsable de la cybersécurité.

PublicitéEn juillet dernier, une mise à jour de routine de l'éditeur d'outils de cybersécurité CrowdStrike a déclenché une panne informatique mondiale qui a mis certaines entreprises à genoux, perturbant leurs opérations et entraînant des pertes directes estimées à plus de 5 Md$. Alors que les entreprises de tous les grands secteurs peinaient à redémarrer, la Webster Bank a repris ses activités en peu de temps. Vikram Nafde, son DSI, attribue cette réussite aux outils et aux politiques de cybersécurité habituels, mais aussi à au partenariat forgé avec son RSSI.

Cette collaboration englobe la planification stratégique conjointe, l'intégration des feuilles de route, la coordination des systèmes de messagerie et des contacts réguliers. À la suite de la panne de CrowdStrike, les partenaires ont d'ailleurs renforcé leurs liens, en menant des exercices sur table pour démontrer la capacité de la banque à se rétablir rapidement en cas d'incident de cybersécurité similaire - ou potentiellement bien pire.

Vikram Nafde, également vice-président exécutif et DSI de la Webster Bank. (Photo : D.R.)

« Nous avons réuni le conseil d'administration pour montrer comment le DSI et le RSSI travaillent ensemble », explique Vikram Nafde, également vice-président exécutif de la banque du Connecticut (Etats-Unis). « Aujourd'hui, le RSSI rend davantage de comptes chaque trimestre au comité des risques et des technologies et au conseil d'administration. » Comme c'est le cas dans de nombreuses entreprises, Patty Voight, RSSI de la Webster Bank, est rattachée au DSI. Mais Vikram Nafde précise que la structure est collaborative et non hiérarchique - une évolution significative à mesure que l'intensité des menaces s'est accru. Ce qui place aussi la barre plus haut concernant le leadership en matière de cybersécurité. En 2024, le coût moyen d'une violation de données sur un système coeur était de 4,88 M$, soit une hausse de 10 % par rapport à l'année précédente et le coût le plus élevé jamais enregistré, selon le rapport « Cost of a Data Breach Report 2024 », publié par IBM et l'institut Ponemon. Ce rapport révèle qu'il faut en moyenne 258 jours aux équipes de sécurité pour identifier et contenir une telle violation de données.

La tutelle du PDG ou du DSI

Le chiffre d'affaires, la réputation et la résilience des entreprises étant en jeu, les responsables de la cybersécurité ne peuvent plus opérer à partir de silos techniques, détachés des défis opérationnels quotidiens et dissociés des objectifs essentiels de l'organisation. L'ampleur et la complexité des vecteurs d'attaque, associées à un paysage réglementaire en constante évolution, ont élevé la cybersécurité au rang de priorité essentielle pour l'entreprise et, avec elle, le statut des responsables de la sécurité informatique.

PublicitéSelon l'enquête 2025 State of the CIO, l'amélioration de la sécurité IT et de celle des données figure parmi les principales priorités des PDG en matière de technologies de l'information cette année, citée par 20 % d'entre eux. L'étude montre également que les RSSI sont placées le plus souvent soit sous la responsabilité du PDG (dans 37% des cas), soit sous celle du DSI (36%). En 2024, près de la moitié (49%) des RSSI désignaient encore le DSI comme leur supérieur direct. « Les entreprises reconnaissent que la cybersécurité doit être une priorité et qu'il s'agit d'un problème global - il ne s'agit pas de savoir s'il va se concrétiser, mais quand », dit Larry Whiteside, conseiller principal de la CISO Society, une communauté privée de responsables de la cybersécurité. Et il n'est désormais plus question d'affirmer qu'une entreprise est trop petite pour être dans le collimateur des acteurs de la menace. « Si vous gagnez de l'argent ou si vous possédez simplement des données, ils s'en prendront à vous, reprend Larry Whiteside. Vous devez anticiper les impacts potentiels sur votre activité et penser à la manière de réduire ce risque autant que possible. »

Larry Whiteside, conseiller principal de la CISO Society, une communauté privée de RSSI. (Photo : D.R.)

Alors que les DSI se transforment en dirigeants aux multiples facettes, voir les RSSI leur emboîter le pas n'est que logique. « Alors que le DSI devient davantage un consultant, travaillant avec l'entreprise pour tirer le meilleur parti de la technologie, le RSSI travaille à ses côtés pour intégrer la sécurité dans ces stratégies, ajoute Larry Whiteside. Les RSSI sortent de l'ombre du DSI. »

Chez United Airlines, un vol d'avance

Au sein de la compagnie aérienne United Airlines, le DSI et le RSSI sont depuis longtemps des postes placés au même niveau, tous deux rattachés au PDG. Selon Deneen DeFiore, vice-présidente et RSSI de United, cette structure a permis d'alimenter la feuille de route numérique, en traitant chaque compétence comme une capacité distincte tout en reconnaissant la nécessité d'un alignement pour atteindre les objectifs visés par l'organisation.

Deneen DeFiore, vice-présidente et RSSI de United Airlines. (Photo : D.R.)

« Les RSSI doivent s'impliquer en se conformant au rythme opérationnel de l'entreprise et ne pas être situés quatre niveaux plus bas, à écouter les résultats visés et à essayer de les traduire [dans leurs pratiques] », explique Deneen DeFiore. « Je suis capable de relier les points en bénéficiant d'une perspective en temps réel. » La RSSI et Jason Birnbaum, le DSI, ont pris une longueur d'avance sur la dynamique de leur relation en travaillant chez General Electric, où ils n'interagissaient pas en tant que collègues, mais où ils ont tout de même été exposés à un ensemble d'expériences, de valeurs et de langages partagés. Cette compréhension mutuelle s'est avérée essentielle lorsqu'il s'est agi d'esquisser les contours de leur partenariat au sein de United. En s'appuyant sur leur passé commun, le DSI et la RSSI ont donné la priorité à une communication ouverte et à la transparence, en développant une vision et des objectifs partagés et en alignant leurs messages pour aider à faire tomber les barrières et les perceptions erronées.

Jason Birnbaum, DSI de United Airlines. (Photo : D.R.)

Leur cahier des charges permet de placer les exigences de sécurité au centre des nouvelles initiatives, sans pour autant rallonger les délais ou bloquer l'innovation. Exemple concret : L'offre « Every Flight Has a Story » de United, un service basé sur la GenAI et renseignant sur l'état des vols, lancé l'année dernière et conçu pour apporter plus de transparence et de contexte aux retards et aux mises à jour des vols. En travaillant en équipe, Deneen DeFiore et Jason Birnbaum ont reconnu le potentiel de transformation de l'IA générative et, avec leurs organisations, ont créé un cadre pour l'utilisation responsable de la technologie. Le service d'état des vols a été l'un des premiers cas d'usage externe de l'IA générative. Il y en a environ 90 autres dans le pipeline, souligne la RSSI. « Nous avons été en mesure d'évoluer rapidement ensemble et de gérer les risques associés à l'utilisation d'une technologie émergente », explique-t-elle.

Réserve fédérale US : une collaboration conçue pour durer

Non seulement l'alignement DSI/RSSI est essentiel pour obtenir des résultats, mais le partage de ces valeurs et des objectifs doit s'étendre en aval, aux membres des organisations IT et de sécurité. Il s'agit même d'une priorité absolue pour l'équipe DSI/RSSI de la Réserve fédérale américaine. La DSI Ghada Ijam et la RSSI Tammy Hornsby-Fink se font un devoir de démontrer publiquement à l'ensemble de l'entreprise leur engagement commun au bénéfice de la mission de l'institution financière, tout en soulignant la façon dont les décisions liées à la cybersécurité font progresser ces objectifs fondamentaux.

Tammy Hornsby-Fink, RSSI de la Réserve fédérale américaine. (Photo : D.R.)

« Nous devons nous assurer que notre façon de travailler ne se limite pas à notre niveau, mais qu'elle est appuyée par les équipes à de nombreux niveaux de l'organisation, explique Tammy Hornsby-Fink. Si nous nous retrouvons dans une situation où l'une d'entre nous ferme les yeux sur quelque chose ou n'est pas ouverte aux points de vue de l'autre, cela envoie un signal fort en aval. Nous veillons à nous écouter dans le cadre de forums ouverts et publics. C'est l'une des pratiques mises en place pour garantir que la relation [entre pairs] perdure longtemps après notre départ. »

Plaza Dynamics, fournisseur de services informatiques managés, de cloud et de sécurité, répond à la nécessité d'un alignement étroit entre le DSI et le RSSI par une approche singulière. Le prestataire a nommé un seul cadre pour superviser les deux ensembles de responsabilités. Vivian Lyon est, ainsi, à la fois DSI et RSSI de Plaza Dynamics - une structure qui, selon elle, témoigne de l'élargissement des attributions des spécialistes en sécurité et de la nécessité pour ces professionnels de s'approprier les risques.

Un profil de risque de l'organisation pour socle commun

« Mon rôle de DSI et de RSSI me donne de nouveaux leviers et une plus grande marge de manoeuvre pour favoriser l'intégration stratégique et l'alignement de la cybersécurité au sein de notre organisation et chez nos clients », explique Vivian Lyon, tout en reconnaissant que, bien que le nombre de dirigeants ayant une double attribution soit en hausse, cette structure ne convient pas à toutes les entreprises, en particulier les plus grandes.

Vivian Lyon à la fois DSI et RSSI de Plaza Dynamics. (Photo : D.R.)

Dans les cas où les rôles sont distincts, au même niveau de hiérarchie, Vivian Lyon préconise l'établissement d'un profil de risque bien défini pour aider à hiérarchiser les ressources et à équilibrer les risques acceptables. « Dans une relation d'égal à égal, l'équilibre entre les objectifs métiers et les exigences de sécurité permet de prendre des décisions qui favorisent à la fois la résilience et la croissance », explique-t-elle. « En l'absence de clarté, les organisations peuvent surinvestir dans des menaces de faible priorité ou ne pas se préparer suffisamment aux risques importants. »

Quand les RSSI choisissent leurs batailles

Même les meilleures relations ont leurs points faibles, et le partenariat entre DSI et RSSI ne fait pas exception. Historiquement, les agendas des deux parties - le DSI chargé de conduire la stratégie et la transformation numériques et le RSSI chargé de les protéger - ont été en désaccord. Bien que cette distance subsiste, l'orientation métier croissante des RSSI et leur alignement plus étroit avec les DSI contribuent à combler graduellement ce fossé. Les RSSI travaillent également à se défaire de leur réputation de trop grande aversion au risque, qui les cantonnait à un rôle de frein à l'innovation.

« L'une des caractéristiques d'un RSSI orienté métier est qu'il n'utilise pas son droit de veto dans tous les cas », explique Ghada Ijam, de la Réserve fédérale. « Lorsque le RSSI est présent à la table des négociations et qu'il comprend l'importance des résultats et des livrables du point de vue de l'organisation, sans perdre de vue la gestion des risques, il est en mesure de choisir ses batailles de manière intelligente. »

Ghada Ijam, DSI de la Réserve fédérale. (Photo : D.R.)

La mise en place d'un partenariat entre DSI et RSSI nécessite l'appui de dirigeants comprenant les enjeux. Alors que les DSI ont acquis une orientation métier depuis des années, les RSSI doivent leur emboîter le pas. « Le bon RSSI est quelqu'un qui ne parle pas en chiffres, explique Larry Whiteside. Il doit être présent à la table des négociations et parler en termes compréhensibles par les chefs d'entreprise, et non s'exprimer en termes de pare-feu et de logiciels malveillants. »

Avoir d'emblée voix au chapitre

Intégrer l'équipe dirigeante signifie également cultiver une voix indépendante - ce qui est important car les DSI et les RSSI ont souvent des points de vue propres, des priorités distinctes et des tolérances différentes en matière de risque. Il est également important de s'assurer que la voix du RSSI - et ses recommandations en matière de sécurité - fasse partie de toute discussion relative à la stratégie d'entreprise, à l'infrastructure IT et aux systèmes critiques dès le début, et non pas après coup.

« On part souvent du principe qu'un RSSI ou responsable de la sécurité va vous ralentir », déclare Tammy Hornsby-Fink de la Réserve fédérale. « Si nous sommes présents à la table des négociations dès le début, nous pouvons orienter l'organisation dans une direction où nous pouvons faire avancer les sujets rapidement et éviter d'être une trop grande réticence au risque. »

Comme dans toute relation réussie à long terme, une communication ouverte et la transparence sont les clés d'un partenariat DSI-RSSI fructueux. Avoir des conversations difficiles pour réconcilier des priorités contradictoires, écouter activement et reconnaître les responsabilités mutuelles sont autant d'éléments nécessaires à l'instauration de la confiance et de la transparence - fondements de la réussite d'un partenariat entre pairs. « Je ne vis pas les désaccords de façon personnelle, souligne Deneen DeFiore de United. Je sais que nous avons une relation de confiance et que tout ne sera pas toujours rose. En fin de compte, nous essayons de faire la même chose et de trouver des solutions pour y parvenir. »