L'architecte du risque : Pourquoi les RSSI reviennent à leurs racines

Le discours dominant en matière de cybersécurité suggère que le rôle du RSSI a évolué, passant d'opérateur technique à leader stratégique en matière d'affaires et de risques. C'est une histoire convaincante, mais elle passe à côté d'une vérité essentielle. Ce à quoi nous assistons aujourd'hui est moins une évolution qu'un retour à l'objectif initial du rôle.

Cette intention était claire dès le départ. Lorsque Steve Katz est devenu le premier RSSI au monde à Citicorp en 1995, il a abordé la sécurité comme un problème commercial. Plutôt que de se concentrer sur les systèmes ou les outils, il a défini la cybersécurité en termes de risques, en demandant aux dirigeants de réfléchir à la manière dont des données compromises pouvaient avoir un impact direct sur les résultats financiers.

Il a contourné le jargon technique pour poser au conseil d'administration une question commerciale fondamentale :

"Vous êtes assis dans une salle de marché devant un terminal de négociation et, sous vos yeux, les six et les sept deviennent des neuf, les cinq deviennent des huit et les trois deviennent des zéros. Quel est l'impact sur vos transactions ?

M. Katz ne parlait pas de technologie. Il parlait de confiance, de revenus et d'intégrité opérationnelle. C'est cette même optique qui définit le mode de fonctionnement des RSSI les plus efficaces d'aujourd'hui : traduire les cybermenaces en informations commerciales sur lesquelles les dirigeants peuvent agir.

Comme l' indique leGlobal Cybersecurity Outlook 2025du Forum économique mondial , "les RSSI efficaces considèrent les cybermenaces comme des risques pour l'entreprise plutôt que comme des défis purement techniques". En liant les incidents à la continuité de l'activité, à la réputation et à l'impact financier, ils intègrent la cybersécurité dans le débat plus large sur les risques, là où Katz l'a positionnée dès le départ.

Comment les RSSI réaffirment le rôle de la gestion des risques

L'approche de Katz offre un cadre durable pour les organisations modernes. Il a conçu ses questions de manière à mettre en évidence l'exposition de l'entreprise, et non les lacunes techniques.

Sur le contrôle et l'autorisation : La conversation porte sur les personnes qui ont accès aux actions susceptibles d'avoir un impact matériel sur l'entreprise en cas d'utilisation abusive. Cela permet d'identifier où les permissions automatisées ou les intégrations pourraient introduire des risques involontaires.

Intégrité et auditabilité : L'accent n'est plus mis sur la journalisation, mais sur la compréhension des points sur lesquels la confiance n'est pas négociable. Dans de nombreux cas, les incidents les plus dommageables ne sont pas des vols de données, mais des manipulations subtiles de l'information qui érodent la confiance au fil du temps.

Sur la disponibilité et la résilience : La question n'est plus de fixer des objectifs de temps de fonctionnement, mais d'identifier le moment où une perturbation devient une défaillance de l'entreprise. Ce recadrage permet de donner la priorité aux investissements dans la continuité et la reprise là où ils sont les plus importants.

C'est ce type de changement qui permet d'aligner la sécurité sur les priorités de la direction et qui facilite la communication des risques par les RSSI dans des termes compréhensibles par l'entreprise.

Sécurité réactive et résilience proactive

L'une des distinctions les plus claires dans cette évolution est le passage d'une sécurité réactive à une résilience proactive.

Les modèles réactifs ont tendance à se concentrer sur les événements. Ils donnent la priorité à la détection, à la réponse et à la remédiation, mesurant souvent le succès par l'absence de problèmes visibles. Bien que nécessaire, cette approche peut créer des angles morts, en particulier lorsque les risques ne déclenchent pas immédiatement des alertes.

Une approche axée sur la résilience part des objectifs de l'entreprise et travaille à rebours. Elle part du principe que des perturbations se produiront et se concentre sur la limitation de leur impact. Les dirigeants doivent concevoir leurs contrôles non seulement pour prévenir les incidents, mais aussi pour les contenir et assurer la continuité lorsqu'ils se produisent.

Ce recalibrage modifie la manière dont les organisations évaluent la sécurité. Au lieu de se demander si les systèmes sont sûrs, les organisations commencent à se demander si si l'entreprise peut continuer à fonctionner en cas de stress.

Selon Gartner, la résilience au service de l'activité est l'un des trois thèmes clés pour les RSSI en 2026, comme l'a déclaré un membre de la communauté RSSI de Gartner : "La cyber-résilience va bien au-delà des plans de reprise informatique - elle inclut les aspects juridiques, les relations publiques, les divulgations sur le marché et la préparation des fournisseurs. Il s'agit d'une coordination et d'une préparation complètes, de bout en bout, entre les différents départements.

Cette définition plus large de la résilience exige des dirigeants qu'ils modifient la façon dont ils positionnent la sécurité au sein de l'entreprise.

Recadrer le récit : La sécurité comme échafaudage de la croissance

Pendant des années, les entreprises ont considéré les équipes de sécurité comme le "département du non", un point de contrôle final qui ralentit les choses ou bloque complètement le progrès.

Cette perception est à la fois culturelle et structurelle. L'introduction tardive de la sécurité en fait une contrainte.

Une approche axée sur le risque modifie le calendrier et le rôle. La sécurité devient l'échafaudage qui soutient la croissance, en fournissant la structure qui permet aux équipes d'aller plus vite sans augmenter l'exposition. Comme l'échafaudage sur un chantier de construction, elle n'est pas l'objectif final, mais elle rend possible un travail ambitieux.

Comme l'indique l'enquête Global Future of Cyber de Deloitteenquête Global Future of Cyber de Deloitte, "les organisations cybermatures anticipent deux fois plus de résultats positifs que leurs homologues moins matures". Parmi ces résultats, citons l'augmentation des revenus, la confiance en l'innovation et une meilleure fidélisation de la clientèle.

Les transitions "de l'avant" à l'après : Un guide pour les responsables de la sécurité

La construction de ce type d'échafaudage nécessite un changement de perspective. Au lieu de se demander comment la sécurité peut prévenir les risques, les dirigeants commencent à se demander comment elle peut permettre à l'entreprise de prendre les bons risques en toute sécurité. C'est cette distinction qui fait passer la sécurité du statut de bloqueur à celui de bâtisseur.

1. De l'application de correctifs à la gestion de l'exposition

Le changement de perspective : La sécurité doit dépasser l'état d'esprit de la liste de contrôle pour protéger ce qui compte le plus pour l'entreprise. Les correctifs permettent de résoudre les problèmes connus, mais la gestion de l'exposition évalue la manière dont les vulnérabilités sont liées aux actifs critiques et aux véritables voies d'attaque.

La valeur : Les ressources sont concentrées là où elles réduisent les risques pour l'entreprise et pas seulement la dette technique.

Autodiagnostic : La priorité des correctifs est-elle basée sur les scores de gravité ou sur la criticité de l'actif commercial menacé ?

2. De la surveillance à la chasse aux menaces

Le changement de perspective : Les équipes doivent passer de l'observation passive à l'investigation active. La surveillance fait apparaître les signaux connus, tandis que la chasse aux menaces recherche les anomalies subtiles qui indiquent l'émergence d'un risque.

L'intérêt : La détection précoce permet d'éviter que de petits problèmes ne dégénèrent en incidents majeurs qui perturbent les opérations ou nuisent à la confiance.

Autodiagnostic : Si un pirate opérait discrètement dans notre environnement, dans quelle mesure sommes-nous convaincus que nous le trouverions ?

3. Du confinement manuel à l'orchestration automatisée

Le changement de perspective : la réponse humaine seule ne peut pas suivre le rythme des menaces automatisées. Les entreprises ont besoin de systèmes qui agissent immédiatement lorsque les menaces franchissent les seuils de risque.

L'intérêt : Un confinement plus rapide limite le rayon d'action des incidents et protège la continuité des activités.

Autodiagnostic : Combien de temps nous faut-il pour isoler une menace, et l'entreprise peut-elle supporter ce délai ?

La boutique MSSP : un partenaire stratégique dans la gestion moderne des risques

Steve Katz a eu le luxe de constituer une équipe de 600 experts chez Citicorp. Aujourd'hui, la plupart des organisations fonctionnent avec des ressources beaucoup plus réduites, ce qui rend difficile le maintien d'un tel niveau de spécialisation en interne.

C'est là qu'un fournisseur de services de sécurité gérés (MSSP) devient un partenaire essentiel et une extension stratégique du bureau du RSSI en fournissant

• Une intelligence contextuelle : Un MSSP stratégiquement aligné filtre le bruit technique à travers le prisme de vos objectifs commerciaux spécifiques. Cela aide le RSSI à parler aux dirigeants en des termes qu'ils comprennent, tels que "revenus à risque" plutôt que "coups de pare-feu".
• Échafaudage architectural : Un partenaire spécialisé aide à concevoir et à mettre en œuvre l'"échafaudage" mentionné plus haut. Il s'agit notamment de déployer des solutions telles que la microsegmentation et l'orchestration automatisée, adaptées aux flux de travail spécifiques de l'entreprise, plutôt qu'un modèle unique qui crée des frictions pour l'informatique.
• Chasse aux menaces avancées : Le bon MSSP fournit les "chasseurs" spécialisés qui recherchent les problèmes subtils d'intégrité des données sur lesquels Katz a mis en garde. Cette attitude proactive éloigne l'organisation du "département du non" et l'amène à un état de préparation permanent.
• Traduction au niveau du conseil d'administration : l'étude 2025 CSO Security Priorities Study de Foundryde Foundry, 95 % des responsables de la sécurité s'engagent auprès de leur conseil d'administration, et plus de la moitié d'entre eux informent leur conseil d'administration plusieurs fois par mois. Une boutique MSSP fournit les données et les données et les rapports nécessaires pour s'adresser au conseil d'administration. Il aide le RSSI à traduire les mesures techniques (comme les "alertes de pare-feu") en mesures de risque (comme la "résilience opérationnelle").

La valeur commerciale d'un état d'esprit axé sur le risque

Les organisations qui alignent la sécurité sur le risque la transforment d'un centre de coûts en un levier de performance pour l'entreprise.

• Une transformation numérique plus rapide : L'intégration de la sécurité de manière transversale dès le premier jour permet aux équipes DevOps et informatiques de livrer des produits plus rapidement sans friction de dernière minute.
• Résilience du marché grâce à la confiance zéro : La limitation du rayon d'action des incidents renforce la confiance des clients et des partenaires.
• Respect simplifié des réglementations : Une approche axée sur le risque s'aligne sur les exigences de conformité, réduisant ainsi les frictions liées aux audits.
• Adoption plus sûre de l'IA : Au lieu d'interdire l'IA, un RSSI soucieux des risques construit le cadre de gouvernance permettant à l'entreprise d'adopter l'IA sans exposer les données sensibles.

Aujourd'hui, 86 % des RSSI déclarent que leur rôle a tellement changé qu'ils ont l'impression d'exercer une autre profession, selon le Rapport CISO de Splunk. En réalité, ils réaffirment le mandat de "Chief Information Risk Officer" que Katz a établi il y a trois décennies.

Le RSSI moderne n'est pas une rupture avec le passé, c'est un retour aux premiers principes. En reconnectant la sécurité à son objectif initial - la gestion du risque commercial - les organisations peuvent peuvent aller au-delà d'une défense réactive et construire une base plus résiliente et adaptable de croissance.