Le responsable de la sécurité des systèmes d’information a toujours été tenu responsable des incidents. Cela n’a pas changé, et cela ne devrait pas changer. Ce qui a changé, c’est que nous avons renforcé sa responsabilité sans pour autant lui accorder davantage de contrôle.
Ce poste occupe désormais une place plus centrale au sein de l’entreprise. Les RSSI sont davantage impliqués dans la gestion des incidents, font l’objet d’une surveillance plus étroite de la part du conseil d’administration et sont plus étroitement liés aux conséquences réglementaires.
À première vue, cela pourrait être considéré comme un progrès. La sécurité est désormais considérée comme un enjeu commercial, et non plus uniquement comme une question technique. Mais le fait d’avoir son mot à dire ne signifie pas pour autant qu’on en détient le contrôle.
Dans la plupart des organisations, les RSSI ne sont pas responsables des systèmes qu’ils protègent ni des décisions qui déterminent les risques. La responsabilité incombe au RSSI. Le contrôle, quant à lui, est réparti dans toute l’organisation.
Ces divergences commencent à rendre ce poste difficile à assumer.
La responsabilisation à elle seule ne suffit pas à renforcer la sécurité
Si la simple responsabilisation suffisait à améliorer la sécurité, le débat serait tout autre. Mais ce n’est pas ce qui se passe. Les cyberattaques ne cessent de se multiplier et d’avoir des conséquences de plus en plus graves.
Les organisations réagissent. Nos recherches montrent que 94 % d’entre elles ont pris des mesures pour s’adapter à la responsabilisation croissante des RSSI. La question n’est pas de savoir si elles agissent, mais comment. Bon nombre de ces changements visent à gérer les risques : davantage de documentation, davantage de contrôle, davantage de protection juridique. La responsabilité incite souvent à adopter un comportement défensif : protéger l’entreprise a posteriori, plutôt que de réduire dès le départ la probabilité d’un incident.
Au contraire, la responsabilisation devrait favoriser une harmonisation. Elle devrait inciter à mener des discussions claires avec l’équipe de direction sur la nature réelle des risques. Elle devrait renforcer la prise en charge des responsabilités et garantir que les budgets et les ressources soient adaptés aux menaces. Or, dans de nombreux cas, ce n’est pas le cas, ce qui rend plus difficile la prise de mesures face aux risques déjà identifiés.
Pourquoi l’écart ne cesse de se creuser
Ce modèle — où la responsabilité est centralisée et le contrôle est distribué — ne fonctionne que lorsque l'organisation agit à l'unisson. Dans la pratique, cela arrive rarement.
Et à mesure que les organisations évoluent plus rapidement, ces divergences deviennent plus difficiles à gérer. Les équipes de sécurité sont en mesure d’identifier les risques, mais leur résolution dépend des décisions prises par d’autres équipes. Le fossé se creuse donc, non pas parce que les responsables de la sécurité ne font pas leur travail, mais parce que le système qui les entoure n’est pas conçu pour les soutenir.
Ce qui fait défaut, ce n’est pas la capacité à réagir en cas d’incident. Ce sont la visibilité et la mise en application des mesures. À un niveau élémentaire, de nombreuses organisations ont encore du mal à savoir ce qui fonctionne dans leur environnement : quels outils sont utilisés, où circulent les données ou quelle est l’étendue du déploiement d’une solution.
Même lorsque les risques sont identifiés, la mise en œuvre des mesures nécessaires repose sur la coordination, l’appropriation des responsabilités et la capacité à faire adopter le changement au sein de toutes les équipes, et c’est précisément là que de nombreuses organisations échouent.
En cas de violation, les RSSI ne sont pas seulement jugés sur ce qui s’est passé, mais aussi sur leur capacité à disposer de la visibilité et de l’autorité nécessaires pour agir. Concrètement, cela signifie qu’il faut démontrer que les risques étaient identifiés et que l’organisation était en mesure d’agir, même si la mise en œuvre dépendait d’autres équipes.
Ce n'est pas nouveau, mais cela devient plus difficile à mesure que les environnements se développent et changent plus rapidement.
À peine la sécurité avait-elle une longueur d’avance que l’IA a remis les compteurs à zéro
Pendant un certain temps, on avait l’impression que les équipes de sécurité maîtrisaient la situation. Les mesures de contrôle gagnaient en efficacité, les bases se renforçaient et l’on avait le sentiment que le fossé entre les pirates et les défenseurs se réduisait.
Puis, la situation a de nouveau évolué. L’IA a bouleversé notre environnement presque du jour au lendemain. De nouveaux outils sont adoptés à un rythme effréné, et la surface d’attaque ne cesse de s’étendre. Les pratiques se généralisent avant que les politiques ne parviennent à s’adapter. Dans certains cas, les équipes de sécurité ne saisissent pleinement le risque qu’une fois qu’il est déjà présent. Et même lorsque la visibilité s’améliore, l’application des règles n’est pas garantie.
De nombreuses équipes de sécurité se retrouvent à nouveau dans une situation familière : elles tentent de rattraper leur retard. Dans le même temps, les attentes n’ont pas été revues à la baisse. Au contraire, elles ont augmenté.
Ce phénomène est encore plus marqué dans les entreprises axées sur l’IA, où la responsabilité de la gestion des incidents est souvent floue et où le rythme des changements est plus soutenu. Plus de la moitié des organisations centrées sur l’IA signalent une confusion quant à la responsabilité, soit plus du double du taux observé dans les entreprises traditionnelles.
Ce qui doit changer
La solution ne consiste pas à limiter la responsabilité. Les RSSI doivent rendre des comptes. Cela ne fait aucun doute.
Mais la responsabilité sans contrôle n'améliore pas la sécurité, elle crée des frictions. Les organisations confient à une seule fonction la responsabilité des résultats qui dépendent de l'ensemble du système.
La sécurité doit être intégrée dès le processus décisionnel, et non ajoutée a posteriori. Si l’entreprise évolue rapidement, en particulier avec l’IA, la sécurité doit s’adapter.
Cela nécessite une harmonisation au niveau de la direction. Il faut que les responsabilités soient clairement définies et que les ressources allouées reflètent le niveau réel de risque. Et tant que le contrôle ne correspondra pas à la responsabilité, ce fossé ne cessera de se creuser.
Comment Fastly aide
Les équipes de sécurité doivent savoir quels outils sont utilisés et si ceux-ci présentent un risque pour l’environnement.
Les produits Web Application and API Protection (WAAP) de Fastly aident les équipes à comprendre le trafic touchant leurs applications et à identifier plus rapidement les activités malveillantes. Cet outil est conçu pour réduire les faux positifs, ce qui permet aux équipes de passer moins de temps à enquêter sur des activités inoffensives et davantage de temps à réagir aux menaces réelles.
Alors que les outils d’IA se répandent dans les organisations, la complexité opérationnelle augmente également. Fastly réunit des fonctionnalités telles que le WAF, la gestion des bots et la protection DDoS sur une seule plateforme, ce qui aide à réduire la surcharge opérationnelle et facilite la coordination de la réponse aux incidents.
Si votre équipe de sécurité peine à suivre le rythme de l’adoption de l’IA, de l’élargissement des surfaces d’attaque et de la pression croissante en matière de responsabilité, découvrez comment les produits de sécurité de Fastly peuvent vous aider à réduire le bruit, à améliorer la visibilité et à accélérer les temps de réponse.