Quand le risque cyber repose encore principalement sur le RSSI

Une crise cyber ne reste jamais confinée à l’IT.

Elle touche :

  • la capacité à décider ;
  • la continuité d’activité ;
  • la coordination ;
  • la confiance ;
  • les arbitrages de direction ;
  • les métiers ;
  • les fonctions support.

Autrement dit : elle concerne toute l’organisation.

Pourtant, dans de nombreuses entreprises, la cybersécurité reste encore perçue comme un sujet principalement technique.

Le RSSI devient alors :

  • celui qui traduit ;
  • celui qui alerte ;
  • celui qui tente d’embarquer ;
  • celui qui prépare ;
  • celui qui absorbe parfois seul l’inquiétude liée aux vulnérabilités et aux dépendances critiques.

Et cette situation finit par créer une fragilité organisationnelle autant qu’humaine.

La maturité cyber devient un sujet collectif

La véritable maturité cyber d’une entreprise commence probablement ici :

au moment où le risque cyber cesse d’être porté uniquement par expertise…
pour devenir un sujet réellement porté collectivement.

Quand :

  • les dirigeants comprennent les impacts métier ;
  • le COMEX participe aux arbitrages ;
  • les fonctions clés connaissent leur rôle ;
  • les métiers comprennent leurs dépendances ;
  • les exercices de crise deviennent collectifs.

La résilience cyber ne se construit pas uniquement avec des outils.
Elle se construit aussi avec :

  • une compréhension commune ;
  • des responsabilités clarifiées ;
  • des circuits de décision préparés ;
  • une capacité collective à agir sous pression.

NIS2 change progressivement le rôle des dirigeants

Avec NIS2, cette évolution devient de moins en moins optionnelle.

Les dirigeants sont désormais davantage attendus sur :

  • la compréhension du risque cyber ;
  • la gouvernance ;
  • les arbitrages ;
  • la préparation à la crise ;
  • la résilience de l’organisation.

Le sujet cyber ne peut donc plus reposer uniquement sur le RSSI.

Et c’est probablement l’un des grands changements en cours dans beaucoup d’entreprises :
faire évoluer la cybersécurité :

  • d’un sujet technique vers un sujet de gouvernance ;
  • d’une vigilance isolée vers une responsabilité partagée ;
  • d’une réaction à chaud vers une résilience construite collectivement.

Construire une résilience cyber réellement collective

C’est précisément ce mouvement que j’aide les organisations à construire.

Parce qu’aucune organisation ne devient réellement résiliente lorsque le risque cyber repose essentiellement sur une seule paire d’épaules.

La résilience devient réelle lorsque dirigeants, métiers, RSSI et fonctions clés commencent enfin à partager :

  • la compréhension du risque ;
  • la préparation ;
  • les décisions ;
  • et la responsabilité collective face à la crise.

Et dans votre organisation :
le risque cyber est-il réellement porté collectivement…
ou repose-t-il encore principalement sur le RSSI ?

@ADHEL
Pour que le RSSI ne porte plus seul la cyber.