Sensibiliser les conseils aux enjeux de la cybersécurité et les CISO au langage du conseil

Les CISO exercent une influence croissante au sein des directions, avec une implication plus forte au niveau des conseils d’administration et un lien plus direct avec les CEO.

82 % des CISO rendent compte directement au CEO, contre seulement 47 % en 2023, ce qui témoigne d’une place de plus en plus centrale de leur rôle. De plus, 83 % des CISO participent régulièrement aux réunions du conseil d’administration.

Pour Splunk, à l’origine de ces ordres de grandeur, cette implication accrue est un signe positif de la prise en compte des enjeux de sécurité au plus haut niveau des organisations. Cependant, malgré cette évolution, il est important de noter que seulement 29 % des conseils d’administration comptent au moins un membre ayant une expertise en cybersécurité. Un déséquilibre qui pourrait impacter la compréhension des enjeux et les prises de décisions.

Promouvoir une culture axée sur la sécurité

« Se rapprocher, coordonner les priorités et mieux se comprendre afin de renforcer la résilience numérique, c’est évidemment positif, commente Michael Fanning, CISO, Splunk. Mais ce n’est pas tout, ce n’est évidemment pas suffisant. » Pour les professionnels de la sécurité, cela signifie qu’ils doivent comprendre l’activité de leur organisation au-delà de leurs environnements IT et trouver de nouveaux moyens de communiquer le retour sur investissement des initiatives de sécurité à leurs conseils d’administration.

Les membres du conseil devront, quant à eux, s’engager à promouvoir une culture axée sur la sécurité et consulter en premier lieu le CISO lors de la prise de décisions affectant la gouvernance et les risques métiers. « Pour concrétiser ce rapprochement, il faut sensibiliser les conseils aux enjeux de la cybersécurité et les CISO au langage du conseil et aux besoins de l’entreprise tout en présentant la sécurité comme un catalyseur. »

Influence… ou les conséquences de l’alignement des priorités entre les CISO et le conseil

Les membres de conseils d’administration ont qualifié de très bonnes ou d’excellentes les relations de travail entre les CISO et le conseil dans des domaines comme l’alignement sur les objectifs stratégiques de sécurité (80 % pour les conseils avec un CISO contre 27 % pour les conseils sans CISO ; la communication de l’avancement des initiatives de sécurité (60 % pour les conseils avec un CISO contre 16 % pour les conseils sans CISO) et l’établissement d’un budget suffisant pour atteindre les objectifs de sécurité (50 % pour les conseils avec un CISO contre 24 % pour les conseils sans CISO). De là, la noiuvelle influence des CISO.

Les CISO entretenant de bonnes relations avec les autres membres du conseil d’administration font également état de partenariats particulièrement solides avec les opérations informatiques (82 % contre 69 % des autres CISO) et l’ingénierie (74 % contre 63 %). Ils ont également plus souvent la possibilité d’étudier des applications de l’IA générative, notamment pour créer des règles de détection des menaces (43 % contre 31 % des autres CISO), analyser des sources de données (45 % contre 28 %), répondre aux incidents et investiguer (42 % contre 29 %), et rechercher proactivement les menaces (46 % contre 28 %).

Des divergences de priorités subsistent

Malgré des progrès notables en termes d’alignement, l’étude met en évidence des divergences de priorités entre les CISO et les membres du conseil. Des écarts significatifs sont observés, notamment en ce qui concerne l’innovation via les technologies émergentes, le perfectionnement des employés de sécurité et la contribution aux initiatives de croissance des revenus. Ces différences -qui impactent l’influence- soulignent la nécessité d’un dialogue continu afin d’aligner les priorités et d’éviter des blocages dans la stratégie de sécurité.

Autre sujet de tension, la perception de la conformité et des budgets. Seuls 15 % des CISO considèrent la conformité comme un indicateur clé de performance, contre 45 % des membres du conseil. De plus, 21 % des CISO avouent avoir subi des pressions pour ne pas signaler de problème de conformité, un constat préoccupant. Les budgets de cybersécurité sont également une source de tension. Seulement 29 % des CISO estiment que leur budget est adapté à leurs besoins, alors que 41 % des membres du conseil pensent qu’il est suffisant.