Entre des réglementations toujours plus strictes et les attentes du conseil d’administration
Coincés entre obligations légales et responsabilité personnelle, les CISO avouent leur peur de poursuites. L’impact personnel de la conformité n’a jamais été aussi important, estime Splunk.
HIPPA, PCI DSS, mais aussi NIS2 et DORA en Europe… Les réglementations sont à la fois plus draconiennes et plus applicables que les mandats précédents, exigeant des délais de déclaration nettement plus étroits tout en imposant des amendes plus lourdes et des sanctions juridiques plus sévères. Si les conseils d’administration sont responsables devant les actionnaires et responsables des risques de l’entreprise, une grande partie de la responsabilité juridique des violations de conformité incombe souvent directement aux CISO.
Dans son dernier CISO Report, Splunk rappelle que le chemin vers la résilience numérique commence par le conseil d’administration. Et que la conformité a une signification différente pour les conseils d’administration et les CISO qu’il y a quelques années à peine. Pour ces derniers, les conséquences des violations comprennent un contrôle réglementaire, une responsabilité juridique, de lourdes pénalités financières et la possibilité de perdre leur emploi. Voire la prison.
Peur de poursuites… Jusqu’où ?
A lire le rapport de Splunk, les responsables de la sécurité ressentent la pression de toutes parts, des régulateurs aux dirigeants de leur organisation. Pour compliquer encore les choses, 21 % des CISO ont également déclaré avoir subi des pressions de la part de leur organisation pour ne pas signaler un incident de sécurité ou de conformité, ce qui a encore plus mis en péril leur emploi, leur réputation et leur organisation.
Rester au fait des exigences de conformité n’est pas une simple case à cocher : il s’agit d’un exercice d’équilibre permanent entre l’application des mesures de sécurité, l’évitement des embûches juridiques et la protection des données. Il est toutefois encourageant de constater que la majorité des CISO interrogés sont prêts à faire ce qu’il faut face à des malversations : 59 % ont déclaré qu’ils dénonceraient les manquements de leur organisation à l’égard des exigences de conformité. Par peur de poursuites.
En plus d’être plus personnelle, la conformité est devenue plus complexe pour les CISO, nécessitant davantage de ressources pour les équipes de sécurité, une plus grande collaboration au sein de l’organisation, une gestion de crise et une stratégie médiatique complètes, et, bien sûr, le soutien du conseil d’administration.
Nouvelle priorité des compétences
Cette nouvelle dynamique a poussé 57 % des CISO à classer la connaissance approfondie des réglementations et de la conformité parmi leurs compétences les plus importantes à développer ; 44 % des membres du conseil d’administration sont du même avis.
Et les CISO ne sont pas les seuls à être sous le feu des critiques. Les conseils d’administration ressentent également la pression des mandats de conformité. Les contrôles réglementaires et les retombées d’une presse négative peuvent nuire à l’image de marque et à la réputation d’une organisation, ce qui peut faire chuter le cours des actions et affaiblir la confiance des actionnaires.
Ces réalités se font probablement sentir dans toute l’organisation. Il n’est donc guère surprenant que 69 % des membres du conseil d’administration aient déclaré que les pressions croissantes en matière de conformité ont rendu leur appartenance au conseil d’administration plus difficile. Ils n’ont pas tort : 37 % des CISO citent le manque de conformité aux exigences réglementaires comme facteur déterminant de leur dernière cyberattaque.
Conseils d’administration et les CISO : approches différentes en matière de conformité
Bien que les conseils d’administration et les CISO s’accordent à dire que la conformité est importante, les similitudes s’arrêtent là. Alors que 42 % des membres du conseil d’administration estiment que les CISO consacrent beaucoup de temps et d’efforts aux activités réglementaires, seuls 29 % d’entre eux affirment que c’est le cas. Après tout, lorsqu’ils supervisent la stratégie de sécurité de leur organisation, la conformité n’est qu’un des nombreux éléments sur lesquels ils travaillent.
Les CISO ne pensent pas non plus nécessairement que les indicateurs de conformité constituent le meilleur moyen d’évaluer les performances. Seuls 15 % d’entre eux ont classé le statut de conformité comme l’un des principaux indicateurs de performance, un écart important par rapport aux 45 % des conseils d’administration qui estimaient qu’il s’agissait d’une mesure solide de leur réussite.
Ces écarts sont coûteux et obligent les CISO à remettre en question l’efficacité de leurs programmes. En raison de l’environnement réglementaire et de menace actuel, 64 % déclarent craindre de ne pas en faire assez pour protéger l’organisation. Et 54 % des membres du conseil d’administration ressentent la même chose.
