Management

6 vérités difficiles que les RSSI doivent accepter

L'évolution constante des menaces, l’apparition de nouvelles technologies, les attentes des directions générales et les exigences réglementaires pèsent sur le quotidien des RSSI. (Photo : Pexels/Pixabay)

Des attaques de plus en plus sophistiquées, l'inévitabilité des failles, une charge de travail écrasante et une responsabilité personnelle engagée : travailler dans la cybersécurité exige d'accepter des contraintes parfois difficiles à vivre.

PublicitéUne carrière dans la cybersécurité est intéressante à plus d'un titre. La pénurie durable de praticiens du domaine signifie qu'il est toujours possible de trouver un emploi, et l'étroitesse du marché des compétences disponibles permet de bénéficier d'un salaire et d'avantages intéressants.

Et le domaine conviendra aux personnes qui s'épanouissent dans un environnement mouvant et sous pression, elles ne connaîtront guère de moment d'ennui dans la sécurité. Et elles travailleront sur une mission qui compte : protéger l'organisation des cyberattaques.

D'un autre côté, les pros de la sécurité doivent faire face à de nombreuses difficultés. Voici six parmi les plus ardues et comment les atténuer et y faire face.

1. Chaque avancée technologique sera utilisée contre vous

Les technologies de l'information sont une discipline qui repose largement sur des avancées rapides. Certaines peuvent contribuer à améliorer votre capacité à sécuriser l'entreprise. Mais chacune pose de nouveaux défis du point de vue de la sécurité, notamment en ce qui concerne la manière dont elles seront utilisées pour attaquer vos systèmes, réseaux et données.

L'IA générative, par exemple, peut être utilisée pour renforcer les opérations de sécurité, mais elle s'avère également difficile à sécuriser. En outre, elle permet aux pirates de créer des opérations de phishing plus sophistiquées, des usurpations de voix et des vidéos plus convaincantes (Deepfake) et de monter des attaques multicanales couvrant le courrier électronique, les médias sociaux et les plates-formes de collaboration.

87% des professionnels de la sécurité déclarent que leur organisation a été confrontée à une cyberattaque aidée par l'IA au cours de l'année écoulée, selon l'étude 2025 Cybercrime Trends de SoSafe, menée auprès de 600 professionnels de la sécurité. Alors que 91 % des experts en sécurité prévoient une augmentation des menaces liées à l'IA au cours des trois prochaines années, seuls 26 % d'entre eux se disent très confiants dans leur capacité à détecter ces attaques.

Comme si cela ne suffisait pas, l'informatique quantique arrive à grands pas, posant de nouveaux risques de sécurité. Chris Dimitriadis, directeur de la stratégie de l'Isaca, association professionnelle internationale dont l'objectif est d'améliorer la gouvernance des systèmes d'information, explique : « compte tenu des récentes avancées quantiques, nous pouvons nous attendre à ce que cette technologie soit présente dans nos plates-formes et processus quotidiens au cours des prochaines années. Cette évolution offrira de grandes possibilités d'innovation dans plusieurs secteurs, mais d'importants risques de cybersécurité se profilent à l'horizon. La cryptographie est présente dans toutes les entreprises, toutes les industries et tous les secteurs, et l'informatique quantique a le potentiel de briser les protocoles cryptographiques que nous utilisons, rendant de multiples services inutiles. »

PublicitéCe que vous pouvez faire : les organisations doivent commencer à se préparer dès maintenant. Les pirates sont déjà engagés dans des attaques dites « harvest now, decrypt later » dans lesquelles ils volent des données chiffrées pour les décrypter ultérieurement avec l'informatique quantique. Les équipes doivent être formées à l'IA et à l'informatique quantique. Les responsables de la sécurité doivent élaborer et mettre en oeuvre des politiques, déployer des garde-fous et des outils appropriés pour s'assurer que l'organisation est prête à faire face à ces nouveaux types de menaces.

2. Vos compétences ne suffisent pas à éviter toute cyberattaque

C'est difficile à avaler, mais si l'on adopte l'approche des « cinq étapes du deuil » en matière de cybersécurité, il est préférable d'atteindre le niveau « acceptation » plutôt que de rester dans le déni, car une grande partie des événements est tout simplement hors de votre contrôle.

Une étude (Hybrid Security Trends Report de l'éditeur de solutions de cybersécurité Netwrix) menée auprès de 1 309 professionnels de l'informatique et de la sécurité montre que 79 % des organisations ont subi une cyberattaque au cours des 12 derniers mois, contre 68 % il y a tout juste un an.

La compromission des informations d'identification (16 %) et le phishing (15 %) sont les deux principales causes de violation de données identifiées dans l'édition 2024 du rapport d'IBM sur le coût décès fuites d'information, réalisé par l'Institut Ponemon. Ainsi, malgré les formations à la sécurité, les utilisateurs continuent de se faire piéger par des attaques de phishing et de se faire dérober leurs informations d'identification.

Une fois qu'un pirate s'est introduit dans votre réseau, il peut agir pendant des mois à votre insu. Ponemon indique qu'il faut en moyenne 292 jours pour identifier et réparer les brèches impliquant des identifiants volés, 261 jours pour identifier et résoudre les attaques de phishing et 257 jours pour les attaques par ingénierie sociale.

Ce que vous pouvez faire : Gartner recommande aux responsables de la gestion de la sécurité et des risques de passer d'un état d'esprit de prévention à un état d'esprit de cyber-résilience, qui met l'accent sur la minimisation de l'impact et l'adaptabilité de l'organisation. En d'autres termes, il s'agit de passer d'une mentalité du si, à une mentalité du quand, les incidents étant inévitables.

3. La responsabilité d'une faille vous incombera, avec des retombées y compris personnelles

Comme si le fait d'être victime d'une faille de sécurité ne suffisait pas, les nouvelles règles de la Securities and Exchange Commission (SEC), le gendarme des bourses américaines, placent les RSSI dans le collimateur pour d'éventuelles poursuites pénales. Ces nouvelles règles exigent des entreprises cotées en bourse qu'elles signalent tout incident de cybersécurité important dans un délai de quatre jours ouvrables. Les réglementations européennes, comme NIS2, vont dans le même sens.

Deux affaires très médiatisées ont déjà été intentées contre des RSSI. Joe Sullivan, RSSI d'Uber, a été accusé d'obstruction à une enquête de la Federal Trade Commission liée à une violation de données au sein de sa société remontant à 2016. Il a été reconnu coupable et condamné à une mise à l'épreuve en 2023.

Toujours en 2023, la SEC a accusé Timothy G. Brown, RSSI de SolarWinds, de fraude et de manquements au contrôle interne liés à la fameuse violation de données de SolarWinds en 2019. Plus récemment, une cour d'appel a rejeté presque tous les chefs d'accusation contre SolarWinds et son RSSI.

Mais l'inquiétude demeure chez les RSSI, qui craignent de faire les frais des violations de données dont sont victimes leur organisation. Dans l'enquête Voice of the CISO 2024 de Proofpoint, 66 % des RSSI mondiaux ont déclaré être préoccupés par l'engagement de leur responsabilité personnelle, financière et juridique, contre 62 % en 2023.

Ce que vous pouvez faire : Il n'est pas toujours possible de prévenir les violations, mais il est possible de mettre en place un solide plan de détection et de réponse aux incidents. Il existe également des moyens pour les RSSI de se protéger contre la responsabilité personnelle, notamment en faisant appel à leur propre avocat et en faisant pression pour qu'ils soient inclus dans la police d'assurance D&O de leur entreprise. Il est essentiel d'établir des lignes de communication ouvertes avec le conseil d'administration et la direction de l'entreprise, ainsi que de disposer d'un cahier des charges précisant les types d'informations et de documents à fournir pour se conformer à la nouvelle réglementation. Il est également essentiel de réfléchir à la manière dont vous communiquez afin de vous prémunir contre toute responsabilité.

4. La pénurie de compétences n'est pas près de disparaître

Les chiffres bruts issus de l'étude annuelle d'ISC2, une association de professionnels de la cybersécurité, pointent invariablement le déficit de compétences dans le domaine. Cette année, la pénurie de travailleurs a augmenté de 19% pour atteindre 4,8 millions de postes, alors que la taille globale de la main-d'oeuvre spécialisée est restée stable, à 5,8 millions.

Plus inquiétant encore que ces chiffres, 90 % des personnes interrogées expliquent rencontrer des déficits de compétences dans leur organisation, et deux tiers d'entre elles (64 %) considèrent que ces manques sont plus graves que les seules pénuries de personnel auxquelles elles sont confrontées. « Il ne s'agit pas seulement des personnes disponibles sur le marché. C'est une question de compétences, et je pense que c'est sur ce sujet qu'il faut se concentrer - mettre les bons ensembles de compétences dans les bonnes fonctions », souligne Jon France, RSSI de l'ISC2.

Le déficit de compétences en cyber a augmenté de 8 %, deux organisations sur trois faisant état de lacunes en la matière jugées modérées à critiques, selon le Global Cybersecurity Outlook 2025 du Forum économique mondial. Ce double problème rend les organisations plus vulnérables aux attaques et moins aptes à réagir en cas d'incident.

Ce que vous pouvez faire : Cette fois, l'IA peut vous aider. Les organisations peuvent tirer parti de l'IA pour automatiser et optimiser les processus manuels. Il est aussi essentiel de perfectionner le personnel en place. Le recrutement au sein de l'organisation est une autre tactique qui peut s'avérer payante.

5. L'assaillant est peut être assis juste à côté de vous

C'est une autre pilule difficile à avaler, mais les attaques d'initiés, qu'il s'agisse d'employés qui volent des données pour les revendre ou qui tentent de se venger d'un employeur jugé indélicat, sont en augmentation. Lorsque les professionnels de la sécurité élaborent des stratégies pour garder une longueur d'avance sur les cybercriminels, l'image qui leur vient généralement à l'esprit est celle d'un acteur résidant dans un pays lointain, à la législation peu regardante, et non celle d'une personne se trouvant dans le bureau d'à côté.

Or, selon une étude de l'éditeur de solutions de cybersécurité Gurucul, 60 % des organisations ont signalé des attaques d'initiés en 2023, un chiffre qui est monté à 83 % en 2024. Le rapport Ponemon 2025 Cost of Insider Risks Report montre que le coût d'une attaque d'initié s'élève désormais à 17,4 millions de dollars en moyenne, contre 16,2 millions de dollars en 2023.

Ce que vous pouvez faire : Voici un autre domaine où l'IA peut être utilisée à bon escient. L'IA et les systèmes de Machine Learning peuvent mener des activités de chasse aux menaces et analyser le comportement humain pour tenter de repérer les activités suspectes afin de prévenir les attaques d'initiés.

6. Le burnout continue à vous guetter

Gartner résume la situation de la manière suivante : « l'évolution constante des menaces et du paysage technologique, la demande croissante des entreprises et les exigences réglementaires, associées à la pénurie endémique de compétences, sont en train de provoquer une 'tempête parfaite'. En conséquence, le secteur connaît une crise de santé mentale, les responsables de la sécurité et de la gestion des risques et leurs équipes étant de plus en plus souvent victimes d'épuisement professionnel. »

Deepti Gopal, analyste au Gartner, ajoute : « les professionnels de la cybersécurité sont confrontés à des niveaux de stress insoutenables. Les RSSI sont sur la défensive, confrontés à une unique alternative : être piratés ou l'éviter. L'impact psychologique de cette situation affecte directement la qualité des décisions et les performances des responsables de la cybersécurité et de leurs équipes. »

Le cercle vicieux commence avec un service de cybersécurité en sous-effectif au sein duquel les praticiens doivent travailler de longues heures de manière insoutenable. La fatigue exacerbe le stress préexistant associé au travail, conduisant à l'épuisement professionnel.

Les conséquences peuvent être désastreuses : les travailleurs épuisés peuvent omettre des tâches de routine telles que l'installation de correctifs ou ignorer des alertes, entraînant une augmentation du nombre d'attaques. En fait, 39 % des responsables informatiques craignent un incident majeur en raison de la surcharge de travail de leur personnel, selon une enquête récente d'Adaptivist.

Ce que vous pouvez faire : Les experts recommandent une approche sur plusieurs fronts consistant à tenter de réduire la surcharge cognitive en simplifiant et en rationalisant les processus, en automatisant autant que possible le travail et en veillant à fournir une formation adéquate et fréquente ainsi qu'une mise à niveau des compétences.

En outre, les RH devraient s'impliquer dans la formation à la gestion du stress, les programmes de renforcement de la résilience, les modalités de travail flexible, les programmes de désintoxication numérique et d'autres tactiques conçues pour lutter contre le burnout.

Gartner prévoit que d'ici 2027, les RSSI qui investissent dans des programmes de résilience personnelle spécifiques à leur métier verront leur taux d'attrition lié à l'épuisement professionnel diminuer de 50 % par rapport à leurs homologues qui s'en abstiennent.