Par Richard Cassidy, RSSI EMEA, Rubrik
La question de la responsabilité en cas de cyberattaque s’impose enfin aujourd’hui dans le débat juridique du secteur, après avoir été longtemps contournée par l’ensemble de l’écosystème. Les responsables de la sécurité des systèmes d’information (RSSI) sont chargés d’identifier les risques, de définir une posture de sécurité et de protéger leur organisation contre les menaces. Pourtant, ils se retrouvent souvent dans une situation intenable et voient leur responsabilité juridique engagée en cas de défaillance, même lorsqu’ils ne disposent ni des moyens financiers, ni des ressources humaines, ni de l’autorité nécessaires pour y remédier.
À mesure que la cybersécurité passe d’un centre de coûts à un sujet stratégique porté au niveau des conseils d’administration, les dirigeants doivent comprendre qu’ils sont conjointement responsables en cas d’attaque et veiller à ce que leur organisation dispose de mesures de sécurité adéquates. En France, le cadre juridique prévoit déjà une responsabilité pénale en cas de négligence grave ou de manquement à une obligation de sécurité, tandis que la directive NIS2 introduit des amendes pouvant atteindre 10 millions d’euros ainsi que des interdictions temporaires d’exercer des fonctions de direction. Le risque cyber relève donc désormais d’une responsabilité personnelle au plus haut niveau. Reste toutefois une question en suspens : la manière dont cette responsabilité se traduit concrètement dans les organisations.
Pendant des années, les organisations ont entretenu l’illusion que les audits, les certifications et les rapports statiques suffisaient à garantir leur sécurité. Les régulateurs attendent désormais un pilotage actif et éclairé au plus haut niveau. Malgré cette évolution, les structures de gouvernance de la plupart des entreprises n’ont pas suivi le rythme, creusant un écart significatif entre les exigences réglementaires et l’implication réelle des dirigeants.
Selon le Forum économique mondial, seule une minorité de dirigeants estime disposer d’une compréhension suffisante des cyber-risques pour éclairer leurs décisions, ce qui ne correspond pas aux attentes des régulateurs. L’écart entre ce qu’exigent les autorités et ce que les processus de gouvernance permettent réellement de fournir ne cesse de se creuser, créant un espace dans lequel les risques s’accumulent et où la responsabilité devient ambiguë.
Dans ce contexte, nous devons repenser ce que signifie réellement la responsabilité. En France, l’ANSSI a traité 4 386 incidents de sécurité en 2024, soit une hausse de 15 % sur un an. La pression exercée sur les systèmes critiques s’accélère et la responsabilité ne peut pas reposer uniquement sur le RSSI d’une organisation. À cette responsabilité s’ajoute la montée en puissance de l’IA agentique, qui complexifie encore davantage la situation. Les conseils d’administration sont désormais censés superviser des systèmes dont la logique interne est en partie opaque et dont la surface d’attaque évolue plus rapidement que les cadres de gouvernance ne peuvent le suivre. L’Agence de l’Union européenne pour la cybersécurité (ENISA) a souligné que l’automatisation pilotée par l’IA rend la supervision des risques nettement plus difficile. L’autonomie croissante de ces technologies ne réduit pas la responsabilité des dirigeants, elle la redéfinit. Pourtant, dans de nombreuses organisations, la gouvernance n’a pas encore rattrapé cette évolution.
Un nouveau débat autour de la protection juridique des RSSI commence à émerger dans les milieux juridiques et industriels, reflétant une tension structurelle que NIS2 et DORA rendent désormais impossible à ignorer. Si la responsabilité doit être renforcée, l’autorité doit suivre, et les RSSI doivent disposer des outils nécessaires pour agir.
Une question fondamentale se pose désormais : le rôle du RSSI doit-il être redéfini ? Dans de nombreuses organisations, il reste une fonction de conseil plutôt qu’une véritable autorité décisionnelle. Sans mandat exécutif clair ni réelle influence au niveau du conseil d’administration, la responsabilité est totalement déséquilibrée.
Les régulateurs ne se contentent plus d’intentions déclaratives ni d’une conformité formelle de la part des équipes dirigeantes. Ils attendent désormais des preuves concrètes des choix d’investissement, une compréhension réelle des enjeux et, surtout, la capacité à répondre efficacement aux attaques. Les conseils d’administration ne peuvent plus déléguer la responsabilité tout en conservant le pouvoir de décision. La gestion du risque cyber doit relever de ceux qui prennent les décisions stratégiques.
La résilience n’est plus seulement une mesure de protection. Elle constitue désormais un devoir fiduciaire, au même titre que la gestion financière et la conformité réglementaire. La question n’est plus de savoir si les organisations sont conformes. Elle est de déterminer si leur direction assume réellement la responsabilité en cas d’attaque, et si le RSSI dispose des moyens d’agir ou s’il se contente d’en porter les conséquences.
