Dans une étude mondiale de Oxford Economics pour le compte de Splunk, il se confirme que l’influence croissante des RSSI au sein de la direction s’accompagne d’une plus grande implication au sein du conseil d’administration, d’un lien direct avec le PDG et du pouvoir de prendre des décisions stratégiques pour l’organisation.
82 % des RSSI interrogés rendent aujourd’hui directement compte au PDG, contre seulement 47 % en 2023. De plus, 83 % des RSSI participent aux réunions du conseil d’administration assez souvent ou la plupart du temps. Bien que 60 % des RSSI reconnaissent que les membres du conseil d’administration ayant une formation en cybersécurité ont plus d’influence sur les décisions de sécurité, seulement 29 % affirment que leur conseil compte au moins un membre avec une expertise en cybersécurité. Ils s’inquiètent beaucoup moins que les autres membres du conseil que l’entreprise n’en fasse pas assez pour se protéger (37 % contre 62 % en moyenne selon l’étude).
Si les RSSI et les conseils d’administration affirment être davantage coordonnés sur les priorités en matière de sécurité, des écarts subsistent. Ainsi 52 % des RSSI estiment que le recours à l’innovation par des technologies émergentes est une priorité contre 33 % des membres du conseil. Il en est de même pour le perfectionnement ou la reconversion des employés de sécurité (51 % des RSSI contre 27 % des membres du conseil). Autre écart notable, seuls 15 % des RSSI classent l’état de conformité parmi les principaux KPI, contre 45 % des membres du conseil : l’écart est considérable. 21 % des RSSI avouent avoir subi des pressions visant à les empêcher de signaler un problème de conformité. Cependant, 59 % d’entre eux expliquent qu’ils lanceraient l’alerte si leur entreprise ne respectait pas ses exigences de conformité.
L’écart le plus important reste cependant le budget alloué à la cybersécurité. 29 % des RSSI déclarent recevoir un budget adapté à leurs initiatives de cybersécurité et à leurs objectifs, alors que 41 % des membres du conseil pensent que les budgets de cybersécurité sont suffisants. 64 % des RSSI craignent de ne pas en faire assez dans le contexte réglementaire et le paysage des menaces d’aujourd’hui. 18 % des RSSI révèlent qu’ils se sont retrouvés dans l’impossibilité de soutenir une initiative métier en raison de coupures budgétaires au cours de l’année écoulée et 64 % affirment que ce manque de soutien a abouti à une cyberattaque. Les RSSI ont également signalé la réduction du nombre de solutions et d’outils de sécurité (50 %), le gel des recrutements dans le domaine de la sécurité (40 %) et la réduction ou la suppression des formations de sécurité (36 %) parmi les principales mesures de réduction des coûts.
