Management

RSSI et directions générales : la grande incompréhension

Les alertes des RSSI sont souvent mal comprises des dirigeants. Les premiers pointent l’incapacité des outils à produire des données permettant aux dirigeants de comprendre les risques. (Photo : Hugo Jehanne / Unsplash)

Vus comme trop techniques, les RSSI ont du mal à se faire entendre des directions générales. Et ce alors qu'ils ont besoin de renforcer leur chaîne DevSecOps pour faire face aux risques induits par l'IA et au renforcement de la réglementation.

PublicitéAprès l'étude de Trend Micro qui souligne les pressions que vivent les RSSI de la part des dirigeants pour minimiser les risques cyber, une autre enquête, de l'éditeur Dynatrace cette fois, confirme les difficultés de communication entre les responsables de la cybersécurité et les directions générales. 87% des 1300 RSSI d'organisations (de 1000 personnes et plus) interrogés dans le cadre de cette étude expliquent que la sécurité applicative, leur priorité n°1, est négligée par le Pdg et les membres du conseil d'administration. En France, le bilan est à peine meilleur, puisque la part des RSSI estimant le sujet mal pris en compte par les dirigeants de leur organisation atteint 81%.

« Expliquer les problèmes ou les menaces que notre équipe de sécurité a analysé à d'autres parties prenantes ou aux cadres de direction qui ne sont pas directement impliqués dans la technologie est toujours une préoccupation », souligne le DAF d'une organisation britannique travaillant dans l'éducation, cité dans l'étude. 77% des RSSI estiment que les conseils d'administration et les dirigeants se focalisent trop sur la réaction aux cyberattaques et pas suffisamment sur la réduction des risques.

DevSecOps : la maturité n'est pas là

Selon l'étude, environ 7 cadres supérieurs sur 10 voient leurs spécialistes en cybersécurité comme trop techniques. 72% des RSSI français rétorquent qu'une partie des difficultés de communication provient des limites des outils de sécurité eux-mêmes, qui produisent peu d'informations et de données permettant aux dirigeants et conseils d'administration de comprendre les risques auxquels fait face leur organisation.

L'étude souligne encore l'importance que les RSSI accordent à l'automatisation DevSecOps pour gérer des cycles de développement qui se raccourcissent et limiter les risques créés par l'usage de l'IA générative dans la production de code. 77% des responsables de la cybersécurité français sont convaincus de la pertinence de l'approche, mais presque autant expliquent avoir des difficultés à piloter cette démarche, en raison de la multitude d'outils de sécurité applicative présents dans leur organisation. Seuls 11% des RSSI estiment leur entreprise ou leur administration au bon niveau de maturité en termes de DevSecOps.

Des lacunes d'autant plus problématiques que la réglementation se durcit (avec l'arrivée de NIS2 et de Dora en particulier). Or, 89% des RSSI français affirment que l'automatisation DevSecOps sera essentielle pour se conformer à ces obligations réglementaires.