À l’occasion du Cybersecurity et Privacy Day, qui se tenait ce mercredi 5 juin, PwC Luxembourg a révélé les résultats de l’édition 2024 de sa CISO & DPO Survey. Nous avons pris le temps d’évoquer les grands enseignements de cette enquête avec Maxime Pallez, Cybersecurity Director, et Antonin Jakubse , Financial Services Senior Manager, expert des enjeux liés à la protection des données personnelles. « Nous réalisons cet exercice tous les deux ans, avec pour objectif de comprendre comment évoluent les rôles de CISO et de DPO au Luxembourg, explique Maxime Pallez. Cette édition, plus particulièrement, s’est attardée sur les enjeux liés aux évolutions réglementaires, avec la mise en œuvre de DORA, de NIS2 ou encore de l’IA Act. Nous avons aussi voulu questionner les CISO et les DPO sur les défis associés au déploiement de solutions d’intelligence artificielle au cœur des organisations. »

Pour cette édition 2024, 97 entités ont répondu de manière anonyme aux questions qui leur ont été soumises par PwC Luxembourg, préalablement préparées avec la contribution de la CNPD, du CLUSIL, de l’ILR et de la CSSF.

L’IA, source d’opportunités et de risques

« Depuis quelques mois, l’intelligence artificielle est au cœur de nombreuses discussions. Cela se vérifie aussi au niveau des résultats de cette enquête. DPO et CISO voient dans l’apport de cette technologie de nombreuses opportunités, notamment au service de l’identification des incidents ou encore des fuites de données. Toutefois, le déploiement de ces solutions, au service du business, soulève aussi de nombreuses questions », commente Maxime Pallez. Recourir à des outils d’intelligence artificielle, les placer dans les mains des utilisateurs à travers l’ensemble de l’organisation n’est pas sans risque, notamment en termes de préservation de la confidentialité des données. Il est en effet nécessaire de bien cadrer l’usage de ces solutions, en se dotant de fondations solides, d’une architecture et d’une gouvernance robustes. « Il faut se demander quelles sont les données qui peuvent être traitées au départ des solutions d’IA, qu’elles soient utilisées pour chercher de l’information ou pour produire des contenus, et qui peut y avoir accès, commente Antonin Jakubse. Tout l’enjeu est de déterminer comment on peut tirer avantage de l’intelligence artificielle tout en restant conforme au RGPD (GDPR). »

Si l’IA peut être utilisée pour mieux protéger les actifs numériques de l’entreprise, elle est aussi exploitée par des acteurs malveillants. Récemment, on a vu des cybercriminels l’utiliser pour produire des deepfakes, reproduisant la voix d’un dirigeant ou même son apparence en visioconférence, pour mener des campagnes de type social engineering. « De nouveaux risques font leur apparition. Les CISO doivent en tenir compte et s’adapter », commente Maxime Pallez.

Une fonction qui gagne en maturité

Les fonctions de CISO et de DPO évoluent. Elles gagnent en maturité. Au sein des organisations, elles sont de plus en plus écoutées. « Cela se traduit notamment par un renforcement des équipes. Lors de l’édition précédente de notre enquête, les organisations interrogées comptaient en moyenne 1,4 personne dédiée aux enjeux de Privacy. Lors de cette édition, cette moyenne monte à 1,8. C’est une hausse substantielle de plus de 25%, explique Antonin Jakubse. La fonction de DPO est mieux considérée. Les dirigeants ont compris que l’enjeu de la préservation des données allait au-delà de la conformité réglementaire, que la fonction contribuait au bon développement de l’activité. »

La réglementation, une préoccupation majeure

Le développement des équipes associées au CISO ou au DPO peut aussi s’expliquer par le renforcement du cadre réglementaire. Si la mise en œuvre de RGPD est derrière nous, les acteurs doivent aujourd’hui se mettre en conformité vis-à-vis de DORA, de NIS2 ou encore de l’IA Act. « Face à ces défis, les rôles de CISO et des DPO évoluent. Un responsable de la sécurité n’a plus une casquette uniquement technique. Il doit pouvoir appréhender les enjeux réglementaires, accompagner les dirigeants face à leurs responsabilités, explique Maxime Pallez. De la même manière, le DPO, considérant les enjeux, doit aussi développer des compétences techniques. L’un et l’autre, enfin, doivent parvenir à mieux travailler ensemble. »

Il est aussi intéressant de noter que, entre les résultats de 2022 et de 2024, les moyens alloués pour traiter ces sujets ont augmenté. « Aujourd’hui, 54% des DPO et 70% des CISO considèrent disposer d’un budget suffisant pour répondre à leurs enjeux. En 2022, cette affirmation n’était partagée que par 55% des CISO. À cette époque, près de 90% des DPO déclaraient ne pas avoir de budget propre. »

Des challenges importants

L’enquête a aussi cherché à identifier les principaux challenges des CISO/DPO à l’heure actuelle. « À l’analyse des résultats, on constate que la complexité des systèmes IT, avec la multiplication des nouvelles technologies est un défi majeur. Le manque de personnel qualifié reste un enjeu important. Enfin, la gestion de l’information en interne, encore fortement silotée, rend toujours difficile l’identification des incidents ou des fuites, explique Antonin Jakubse. Il est important, à cet égard, que les challenges liés à la sécurité et à la préservation de la confidentialité des données soient mieux compris de l’ensemble des acteurs de l’entreprise. Face aux menaces, chacun a un rôle à jouer. »

Pour plus d’informations sur l’édition 2024 de la CISO & DPO Survey, visitez notre site.