Recherche

Les RSSI encore peu actifs sur le terrain de la RSE

KPMG constate une implication essentiellement « passive » des RSSI dans les problématiques RSE. Sur quelle base ?

Publié par Clément Bohic le - mis à jour à
Lecture
3 min
  • Imprimer
Les RSSI encore peu actifs sur le terrain de la RSE

Cybersécurité et RSE, un lien encore peu établi en pratique ? La plupart des RSSI ne sont que passivement impliqués dans la définition des stratégies et leur mise en oeuvre. C'est en tout cas la conclusion que KPMG tire dans son dernier rapport Cyber Trust Insights.

Moins d'un répondant sur cinq (échantillon : 1881 cadres dirigeants*) a affirmé que le RSSI et/ou l'équipe cybersécurité était « partie intégrante » de l'équipe RSE et de ses activités. Pour près de la moitié (44 %), le rôle se limite à fournir des informations sur demande.

Le rapport met aussi en lumière le casse-tête de la réglementation pour les RSSI. Ou plutôt des réglementations, pour les activités multinationales. Avec quelques éléments de contexte :

- La majorité des pays ont aujourd'hui une forme de régime de protection des données. Et, souvent, ils en revendiquent l'extraterritorialité, autant pour les services proposés sur leur territoire que pour les données de leurs citoyens.

- Le durcissement de l'encadrement des infrastructures critiques : obligations de signalement d'incidents, audits externes requis, etc.

- La diversité des lois... et de leur interprétation

La notion d'écosystème, pas encore intégrée ?

Les cadres dirigeants s'inquiètent en particulier de leur capacité à respecter les exigences de cybersécurité lorsqu'ils externalisent des actifs. Leurs réponses traduisent aussi un certain scepticisme vis-à-vis de la capacité des organisations à modéliser et à estimer le risque (voir ci-dessous).

Emporter l'adhésion du board est un autre défi - qui n'a rien de nouveau - pour les RSSI. Les cadres dirigeants eux-mêmes le reconnaissent. Près des deux tiers expliquent que leur organisation voit la sécurité de l'information comme une activité de réduction du risque plutôt que comme un levier de compétitivité par la confiance qu'elle fait naître.

L'étude révèle par ailleurs un décalage entre les intentions de collaborer avec l'écosystème et la réalité des pratiques. Un exemple : 79 % considèrent comme vital de s'engager avec clients et partenaires, mais 42 % l'appliquent.

Quand on leur demande de citer les trois principaux bénéfices d'une telle collaboration, les répondants citent d'abord :

- Mieux anticiper les cyberattaques (44 %)
- Mieux en recouvrer (41 %)
- Répondre plus efficacement aux changements réglementaires (39 %)

* Dont 42 % cadres supérieurs et/ou membres du conseil d'administration. 50 % de l'échantillon était localisé sur la plaque EMA (Europe, Moyen-Orient-Afrique). Toutes les organisations sondées réalisent au moins 100 M$ de C. A.

Illustration principale © École polytechnique / Paris / France via Visualhunt / CC BY-SA

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page