Les pistes fonctionnelles de sécurité sont de plus en plus insatisfaites, des conceptions sur de nouvelles positions, selon les enquêtes. Mais un marché du travail d’adoucissement pourrait donner aux CISO le temps de relever les défis uniques auxquels les chefs de sécurité hautement performants sont confrontés dans leurs rôles et leur croissance de carrière.
Les chefs de service de sécurité – ceux qui relèvent directement du CISO – cherchent décidément à quitter leurs postes. Mais divers facteurs, y compris une économie faible, retardent leurs exodus, ce qui pourrait donner aux Cisos le temps de changer d’avis.
Selon le rapport de référence en matière de rémunération du personnel de la cybersécurité de l’IANS 2025, la majorité des chefs de service fonctionnels (53%) envisagent un changement d’emploi dans un avenir proche, contre 46% des cadres intermédiaires et 40% du personnel.
« Bien que ces considérations ne se traduisent pas toujours directement en attrition réelle, elles signalent des défis de motivation potentiels et l’insatisfaction sous-jacente à l’égard de certains aspects du travail », a écrit IANS dans son rapport.
«Il y a beaucoup d’intérêt refoulé à changer d’emploi et de devancer la situation peut aider à prévenir un exode lorsque davantage d’opportunités sont disponibles sur le marché», a déclaré Nick Kakolowski, directeur de recherche principal chez IANS, notant qu’une large insatisfaction est atteinte par un marché du travail suffisamment lent pour empêcher des mouvements importants.
« Cela fait désormais un moment privilégié pour faire des investissements à moindre coût dans la rétention afin de stimuler la satisfaction et de garantir la fidélité des hauts performances afin d’éviter les coûts élevés de recrutement de nouveaux talents lorsque le marché s’ouvre finalement », a-t-il déclaré.
Ravi de Silva, PDG de la société de conseil en conformité De Risk Partners, soutient que les CISO doivent ajuster leur réflexion s’ils veulent conserver leurs rapports directs en 2025.
« Si vous voulez garder (ces chefs de département), pensez comme un fondateur, pas une fonction. Donnez-leur la propriété, pas seulement la surveillance. Les gens restent quand ils construisent quelque chose qui compte, pas seulement la protection de quelque chose qui pourrait briser », a déclaré de Silva, qui jusqu’à l’année dernière a été le chef mondial des tests de conformité à Citi, un rôle qu’il a occupé pendant sept ans. «La rétention ne concerne pas les avantages. Il s’agit d’un but. Si votre équipe n’a aucune voix dans la formation de la culture de sécurité, ne soyez pas surpris lorsqu’il trouve une entreprise qui leur en donne une. Ils veulent une agence, pas seulement une direction.»
Bien que l’épuisement professionnel soit souvent considéré comme un moteur de l’insatisfaction au travail, De Silva n’est pas d’accord.
« Le problème n’est pas l’épuisement professionnel. C’est le goulot d’étranglement sous le CISO. Les niveaux intermédiaires comportent des risques sans être autorisés à mener. Si la seule voie à suivre est plus de pression sans croissance, ils partiront », a déclaré De Silva. «Déposez vos meilleurs interprètes dans le cloud, la fraude ou les opérations. Il signale la confiance, construit la gamme et les maintient engagés. L’ennui est un risque de vol plus important que l’épuisement professionnel.»
De plus, Kakolowski note que la recherche IANS montre que les CISO des entreprises restent dans leurs rôles beaucoup plus longtemps ces jours-ci, laissant les députés avec des ambitions pour le meilleur endroit de la sécurité devant attendre plus longtemps ou chercher ailleurs leur tir.
Défis uniques pour le rôle principal de sécurité
Mike Piekarski note qu’un élément typiquement négligé pour la conservation des pistes du département est la camaraderie du groupe de cybersécurité, car les coéquipiers sont souvent une raison clé pour profiter du travail. « Ils veulent rester les uns pour les autres. Les encourager à explorer les choses ensemble, qui construit une ambiance d’équipe », a déclaré Piekarski, qui, avant de gérer le cabinet de conseil en cybersécurité, Breachcraft a dirigé l’équipe d’ingénierie de sécurité à Disney et a occupé un rôle similaire avec Comcast.
«J’ai eu une tête de cyber équipe qui était responsable de l’élevage de chats dans notre SOC et d’être un ingénieur principal sur des projets techniques. Il a révélé qu’il n’aimait pas la gestion des ressources, mais a aimé les encadrer et leur enseigner les compétences techniques. Et beaucoup de ses tâches d’ingénierie sont devenues répétitives au fil du temps, alors il a commencé à se sentir stagnant», a déclaré Piekarski. «Ce (leader) m’a révélé qu’il s’était intéressé à la criminalistique et à la réponse aux incidents, nous avons donc élaboré un plan et un budget pour lui faire une formation sans formation et un GCFA (analyste judiciaire certifié GIAC) où nous avons creusé des responsabilités pour lui de diriger les processus de réponse aux incidents.»
Piekarski a déclaré que cette décision avait aidé à ouvrir un dialogue continu qui a entraîné la transmission des tâches administratives vers une autre ressource à gérer, tout en gardant la tête en tant que mentor technique principal pour l’équipe.
«J’ai également commencé à solliciter sa contribution pour les stratégies internes, pour le rendre plus inclus dans les décisions et les processus de leadership, même rebondissant les plans de projet pour les examiner, ce qui ne serait pas une partie traditionnelle de son rôle, mais je crois que je lui ai montré que je valais sa contribution et son expertise», a-t-il déclaré.
Jay Bavisi, président des certificats de sécurité et de la société de formation EC-Council, prévient qu’en tant que stratégie de rétention, la formation peut parfois avoir un effet négatif.
«La formation en cybersécurité améliore généralement la rétention si elle fait partie d’une stratégie de développement de talents plus large», a-t-il déclaré. Mais «fait isolément, il peut se retourner contre les employés plus commercialisables sans leur donner des raisons de rester.»
Une façon de réduire l’insatisfaction des têtes fonctionnelles est d’éviter le fluage des rôles, a déclaré Marcos Alves, PDG du fournisseur de cybersécurité de l’IA Hal-AI.
« Il est courant que les membres de l’équipe se viennent aux responsabilités qui vont bien au-delà de leurs descriptions de travail officielles.
«Assurer toujours l’alignement entre les rôles de travail officiels et les responsabilités réelles en cours», a-t-il conseillé. «Si nécessaire, rencontrez le professionnel et mettez à jour son contrat de travail pour refléter la portée élargie de leurs fonctions.»
Ed Skoudis, président de Sans Technology Institute, voit un problème connexe: «Les professionnels de la sécurité sont promus dans des rôles de leadership où ils ne se sentent pas équipés, non pris en charge ou tout simplement désintéressés – mais il y a peu de place à l’avancement ailleurs.»
Pire, les orientations commerciales, sur lesquelles les chefs de département n’ont pas de mot à dire ou de contrôle, peuvent apporter une insatisfaction supplémentaire à ce rôle.
«Le budget se fige, les événements de fusions et acquisitions, la délocalisation, les priorités de la carte de décalage. «Il est difficile de transformer« rien de mal ne s’est passé ce trimestre »en un cas convaincant pour une augmentation ou une promotion.»
La menace constante est la menace constante de rôles clés externalisés, a déclaré Caird. «Même dans les 500 du Fortune 500 traditionnellement lourds, il y a une pression croissante pour remettre les fonctions de cybersécurité aux fournisseurs de MDR. Cela érode à la fois l’influence et la sécurité de l’emploi pour les équipes internes.»
