Cela fait maintenant plus de quinze ans que j’officie dans le domaine de la cybersécurité. Et mon observation, notre mission demeure la même : protéger les actifs numériques de l’organisation et, par extension, ses collaborateurs et sa réputation.

Au fil des ans, différents modèles d’engagement sont apparus, mais les enjeux essentiels restent similaires.

Aujourd’hui, je souhaite partager avec vous trois grandes tendances qui, selon moi, vont fortement influencer la manière d’exercer le métier de RSSI à l’horizon 2025.

1. La conformité prend une ampleur nouvelle

1.1. Des réglementations plus nombreuses et plus exigeantes

Au cœur de l’évolution en matière de cybersécurité, on trouve l’augmentation rapide des réglementations. Des réglementations telles que la directive NIS2 (Network and Information Systems Directive) ou le règlement DORA (Digital Operational Resilience Act) imposent progressivement des obligations supplémentaires aux entreprises. Concrètement, cela signifie que de nouvelles mesures de sécurité doivent être mises en place, et que la documentation de ces mesures devient cruciale pour pouvoir répondre aux exigences légales.

Le déploiement progressif de ces réglementations entraîne un effort accru pour les RSSI, notamment au niveau administratif et organisationnel. Les rapports d’incident, les plans de remédiation et les procédures internes doivent être clairement établis et régulièrement vérifiés.

Pour certaines entreprises, ce n’est pas totalement nouveau : celles qui étaient déjà régulées par la LPM (Loi de Programmation Militaire) avaient l’habitude de procédures formelles. Mais pour d’autres, l’effort est conséquent et demande une adaptation rapide.

1.2. Vers un dialogue plus formel avec les autorités

L’une des conséquences de l’augmentation des réglementations est la multiplication des échanges avec les autorités de supervision. Si certaines entreprises ont l’habitude de rendre des comptes, d’autres devront se préparer à fournir des rapports, des audits ou des justificatifs beaucoup plus fréquemment.

Pour le RSSI, cela signifie plus de temps consacré à la veille réglementaire, à la collaboration avec l’interne (juridique, compliance, DPO, etc.) et au dialogue avec l’externe (organismes de régulation, audit).

Dans ce cadre, le RSSI se retrouve souvent en première ligne pour présenter et expliquer la posture de cybersécurité de son organisation, ce qui peut être exigeant, mais aussi valorisant.

1.3. La supply chain sous le feu des projecteurs

La supply chain n’est pas épargnée par cette vague de conformité. Les échanges d’informations entre fournisseurs, partenaires et clients vont se formaliser de plus en plus. Les questionnaires de cybersécurité, les Plan d’Assurance Sécurité et les négociations contractuelles autour de la sécurité vont devenir monnaie courante.

De fait, le RSSI ne pourra plus se contenter d’être “celui qui protège depuis son bureau”. Il devra endosser un rôle de négociateur, capable de convaincre, d’expliquer et de s’assurer que les différents acteurs de la supply chain respectent les exigences en matière de cybersécurité. C’est un défi relationnel autant que technique.

2. L’essor du SaaS dans la cybersécurité

2.1. Des outils de sécurité de plus en plus “as a Service”

Avec l’évolution du cloud et des modèles de consommation, de plus en plus d’éditeurs de solutions de cybersécurité proposent une offre en mode SaaS (Software as a Service). Les solutions historiques qui s’installaient sur nos serveurs passent peu à peu en ligne, ce qui facilite le déploiement, la mise à jour et le maintien en conditions opérationnelles, probablement au détriment de la souveraineté.

Cependant, ce basculement pose la question de la confiance : comment s’assurer que nos données et nos journaux d’événements (logs) sont bien protégés chez un prestataire externe ? Quelles garanties obtient-on en termes de disponibilité, de confidentialité et d’intégrité ? Pour le RSSI, cela se traduit par la mise en place de nouveaux types de contrats, et l’intégration de clauses spécifiques.

2.2. Le SOC (Security Operations Center) migré dans le cloud

Le cas du SOC illustre parfaitement cette transformation. Traditionnellement, le SOC est un dispositif interne ou externalisé, mais avec une composante matérielle et logicielle directement sous le contrôle de l’entreprise ou du prestataire. Aujourd’hui, on assiste à la montée du “SOC as a Service”. Les fournisseurs proposent des plateformes gérées de bout en bout, entièrement hébergées dans le cloud.

Pour les RSSI, ce choix peut être séduisant : pas d’investissement lourd en infrastructure, une flexibilité accrue et une réactivité potentiellement plus grande en cas de nouvelle menace. Néanmoins, la dépendance à un tiers s’accentue, ce qui soulève de nouvelles questions : comment gérer la réversibilité si l’on souhaite changer de fournisseur ? Comment s’assurer que nos données restent souveraines ou qu’elles sont localisées dans des régions géographiques pertinentes ?

2.3. Le passage des VPN au modèle ZTNA

Un autre aspect important de la migration vers des services hébergés concerne la connectivité des utilisateurs. Historiquement, on utilisait des VPN (Virtual Private Networks) pour permettre le télétravail ou l’accès à des ressources internes. Aujourd’hui, beaucoup parlent de ZTNA (Zero Trust Network Access), un modèle “as a Service” qui ne donne plus un accès global au réseau interne, mais plutôt un accès finement contrôlé aux seules ressources nécessaires.

Pour le RSSI, cela représente à la fois une opportunité et un défi. L’opportunité de renforcer la sécurité (enfin on limite la surface d’attaque en donnant un accès minimal), mais le défi de gérer la transition, de s’assurer de la compatibilité avec les applications, et de former les utilisateurs à ces nouveaux modes de connexion.

3. L’IA devient un enjeu concret pour le RSSI

3.1. L’essor des outils d’IA “générative”

Aujourd’hui, les solutions d’IA générative ne se limitent plus aux seules plateformes spécialisées. Elles arrivent sous forme de plugins, d’extensions ou de modules intégrés directement dans les applications que nous utilisons au quotidien : navigateurs, suites bureautiques, outils collaboratifs, etc. Cette omniprésence rend plus difficile la maîtrise de leur déploiement, car les collaborateurs peuvent parfois activer ces fonctionnalités sans forcément passer par la case validation ou sans prendre conscience des enjeux de sécurité.

Pour le RSSI, cela implique de composer avec des briques logicielles qu’il n’a pas toujours choisies ou auditées en amont. Dans ce contexte, la vigilance doit porter sur les données qui transitent par ces outils d’IA générative. Les mécanismes de collecte, de traitement et de stockage des informations ne sont pas toujours transparents, ce qui soulève des questions : comment garantir la confidentialité des données sensibles ? Qui détient réellement les informations traitées ? Comment éviter un éventuel transfert non autorisé vers l’extérieur ? Sans une politique d’encadrement claire et partagée, le risque d’exposition et de non-conformité augmente considérablement.

3.2. Les contraintes réglementaires autour de l’IA

Dans le sillage des réglementations de cybersécurité, l’IA fait aussi l’objet de projets de loi et de régulations spécifiques, dont l’AI Act au niveau européen. Même si ces textes ne sont pas encore tous finalisés, il est probable que les RSSI auront un rôle à jouer dans leur application. Ils devront s’assurer que les traitements IA soient conformes aux règles de confidentialité, de transparence et de sécurité des données.

Cette partie est parfois moins visible, car beaucoup d’organisations n’ont pas encore de projets formalisés autour de l’IA. Mais mieux vaut s’y préparer. Cela est d’autant plus vrai dans un contexte de mise en conformité RGPD, NIS2 ou DORA.

3.3. Des projets IA dispersés et difficiles à gérer

Enfin, le challenge principal réside souvent dans la prolifération d’initiatives locales. Un service marketing qui teste un outil de génération de texte, une équipe de développement qui s’amuse avec un framework de machine learning, un consultant externe qui propose un algorithme d’automatisation… Tous ces projets existent, parfois sans coordination ni vision globale.

Pour le RSSI, il devient nécessaire de recenser, de sensibiliser et de mettre en place un minimum de gouvernance sur ces projets. Cela ne doit pas être un frein à l’innovation, mais plutôt un accompagnement permettant de garantir un niveau de sécurité minimum et d’éviter de futurs problèmes (perte de données, non-conformité, vulnérabilités, etc.).

Conclusion

Le métier de RSSI se réinvente en partie sous la pression de ces nouvelles tendances : conformité grandissante, évolution vers des solutions de sécurité en mode SaaS et prise en compte réelle de l’IA. Si la mission reste la même — protéger les actifs de l’entreprise — la manière de l’accomplir se complexifie. Les RSSI doivent à la fois développer de nouvelles compétences, étoffer leur palette d’outils et, souvent, sortir de leur zone de confort pour négocier, communiquer et convaincre.

Ce n’est pas forcément une révolution, mais plutôt une évolution logique de notre secteur. Pour aller de l’avant, nous devons partager nos expériences, rester humbles face aux défis et collaborer de plus en plus avec les équipes en interne comme en externe. J’espère que cet aperçu vous aidera à anticiper les changements à venir et à vous préparer pour le RSSI de 2025.

En fin de compte, je reste convaincu que ces transformations, bien que contraignantes, ouvrent aussi de belles opportunités pour notre profession : celle de jouer un rôle plus transversal, d’être reconnu comme un partenaire stratégique et non plus seulement comme l’équipe qui dit “non”. À nous de saisir cette chance pour faire avancer la sécurité au sein de nos organisations et, plus largement, dans l’écosystème numérique.

Et si ce n’est pas déjà fait, obtenez votre kit documentaire RSSI

Ressources CyberLead