Malgré la multiplication des menaces contre les entreprises - les cyberattaques et le vol de données figurent parmi les principaux risques commerciaux dans le monde - la sécurité est toujours considérée comme un centre de coûts par la DG plutôt que comme un élément clé de la stratégie commerciale. Les RSSI remontent bien au comité de direction tous les détails sur les possibilités techniques pour mieux protéger l’entreprise, mais ce dernier estime souvent que la sécurité est trop complexe. Si le RSSI réussit à intégrer le comité de direction au côté du DSI, les discussions sont généralement plus faciles. La connaissance personnelle des principaux dirigeants fait souvent avancer les dossiers. De plus une bonne appréhension de la stratégie commerciale de l’entreprise permet également au RSSI d’affiner son plan de sécurité. Il lui est ainsi beaucoup plus facile d'estimer quelles applications et systèmes nécessitent automatiquement plus de sécurité. 

Avec une bonne connaissance des objectifs de l'entreprise, le RSSI peut établir des profils de risques de sécurité par entité (commerciale, juridique, RH, production…) et les lier à sa politique de sécurité. Est-il par exemple vraiment nécessaire de patcher tous les mois des systèmes moins critiques. Après tout, appliquer moins souvent des correctifs est souvent beaucoup moins cher. En examinant attentivement le niveau de sécurité requis par chaque entité, le RSSI peut parvenir à mieux équilibrer son enveloppe budgétaire tout en assurant une bonne sécurité. Mais, ces derniers mois, le télétravail est venu bouleverser les modèles mis en place par les RSSI avec des transferts de budgets pour mieux couvrir les risques liés au travail à domicile. Liens VPN, multiplication des tests de phising, blocage des apps indésirables… la période a été particulièrement intense pour les équipes en charge de la sécurité.