Beautiful hispanic senior business woman with crossed arms smiling, looking aside. European Latin confident mature good looking middle age leader female businesswoman on office background, copy space.

Ce qu’il faut pour remporter ce rôle d’OSC

Lucas Morel

Les responsables de la sécurité qui cherchent à obtenir une promotion au poste de responsable de la sécurité ont besoin d’une expertise approfondie dans un ou deux domaines cybernétiques, d’une grande maîtrise de l’écosystème de la sécurité et d’un changement de mentalité qui allie réduction des risques et habilitation commerciale.

Évolution des responsabilités et des attentes des OSC

  • Gouvernez l’explosion de l’IA fantôme et établissez des garde-fous pour l’IA générative avant qu’elle ne crée des fuites de données matérielles.
  • Allez au-delà de la prévention et agissez comme un facilitateur commercial, prouvant que l’organisation peut maintenir une activité minimale viable pendant une panne prolongée.
  • Abordez les contraintes de conformité, telles que les règles de divulgation de la SEC ou la loi européenne sur l’IA, non pas comme une liste de contrôle, mais comme un bouclier stratégique qui protège la valeur de l’entreprise.

« La résilience, la transparence et l’assurance mesurable sont désormais des attentes de base », explique Breckenridge.

Vivre l’évolution du leadership en cybersécurité

L’un des professionnels de la cybersécurité qui a vécu cette transformation est Dale Hoak, qui a été promu en juillet 2025 au poste de RSSI chez RegScale, l’un des principaux fournisseurs de surveillance des contrôles continus (CCM). Hoak a initialement rejoint RegScale en tant que premier employé de sécurité et l’un de ses premiers employés. Depuis, il a aidé l’entreprise à bâtir ses bases en matière de sécurité.

En annonçant la promotion de Hoak à l’époque, Travis Howerton, PDG de RegScale, a déclaré : « Le rôle de RSSI est souvent considéré comme un prix pour l’ensemble de sa carrière dans ce domaine, et Dale l’a mérité. Avec des décennies d’expérience dans le ministère de la Défense et dans le secteur privé, il a apporté une expertise approfondie, un dynamisme incessant et une vision claire de notre programme de sécurité. « 

Au cours des années qui ont précédé RegScale, Hoak « a construit des programmes de sécurité à partir de zéro, a réparé ceux qui étaient défectueux et a fonctionné dans des environnements où les temps d’arrêt et la perte ou la panne de données avaient de réelles conséquences », dit-il. « Cette expérience m’a donné ce que je crois être une solide expérience opérationnelle, un état d’esprit et un respect sain pour l’aspect pratique plutôt que pour la théorie. C’est la façon dont vous le faites, pas la façon dont vous y pensez. »

RegScale a accepté lorsqu’il a proposé à Hoak son premier rôle en matière de cybersécurité. Pour Hoak, la mission était claire : « bâtir la confiance et évoluer sans ralentir l’entreprise », dit-il. « RegScale vit dans certains des environnements les plus hautement réglementés. La sécurité doit être un catalyseur ; elle ne peut pas être un bloqueur. Le rôle du RSSI dans chaque entreprise est d’aider les organisations à arriver au « oui », car les organisations ne peuvent souvent pas s’écarter de leur propre chemin. »

En tant que RSSI, vous devez comprendre comment avoir un impact positif sur l’entreprise, ajoute-t-il. Vous n’êtes pas seulement la sécurité. Une partie de votre travail au sein de la C-suite consiste à aider l’organisation à gagner de l’argent, conseille Hoak.

Le parcours à travers les échelons jusqu’au CSO

Un autre professionnel de la cybersécurité qui a gravi les échelons, bien que via un parcours multi-employeurs, est Russ Kirby, aujourd’hui RSSI chez Ping Identity.

« J’ai déjà occupé des postes techniques, de conformité et commerciaux, j’apporte donc une expérience variée et étendue », explique Kirby. « La taille et l’échelle de ces rôles et de ces entreprises ont également été radicalement différentes – des startups aux sociétés Fortune 50. Je peux parler dans le contexte du « présent », mais aussi regarder vers l’avenir et voir où l’entreprise veut aller.

Cette expérience a conduit Kirby au poste de RSSI chez ForgeRock en 2019. Lorsque ForgeRock a été acquis par Ping Identity et que les sociétés ont officiellement fusionné en août 2023, il a repris le rôle de RSSI mondial chez Ping Identity.

« Je considère le poste de RSSI comme un rôle de leadership commercial plutôt que comme un rôle simplement technique, axé sur les personnes et la stratégie », explique Kirby. « La capacité de communiquer et de traduire pour un large éventail de publics – techniques, non techniques, commerciaux, non commerciaux – est essentielle. En tant que RSSI, vous devez être capable d’aider les gens à comprendre le « pourquoi » de ce que nous faisons. « 

Autrefois considéré principalement comme un technologue senior spécialisé dans les systèmes et les contrôles, le RSSI d’aujourd’hui se situe désormais au cœur de la stratégie commerciale, explique Kirby. Le RSSI moderne est aussi, par nécessité, un futuriste : il prévoit non seulement les menaces, mais aussi la manière dont la confiance, l’identité et la sécurité numériques détermineront quelles entreprises réussiront et lesquelles échoueront.

Compétences commerciales et technologiques minimales pour les candidats CSO

  • Une expérience approfondie en matière de gestion des identités et des accès est souvent plus précieuse aujourd’hui que la sécurité réseau traditionnelle.
  • Les dirigeants qui ont vécu des migrations hybrides ou multicloud à grande échelle sur AWS, Azure ou Google Cloud Platform comprennent la surface d’attaque moderne d’une manière que les opérateurs traditionnels ne comprennent souvent pas.
  • Vous n’avez pas besoin d’être un data scientist, mais vous devez comprendre les risques liés aux modèles, l’empoisonnement des données, les agents automatisés et la manière dont l’IA remodèle les dynamiques de sécurité offensives et défensives au sein de votre environnement.

« Du point de vue technologique, la maîtrise de l’automatisation de la sécurité et de la surveillance continue des contrôles est de plus en plus essentielle », explique Breckenridge. « En 2026, si vous ne pouvez pas automatiser la conformité et la collecte de preuves, vous ne pourrez pas évoluer. Les programmes de sécurité manuels ne survivront pas à la croissance. »

Du côté des affaires, le sens financier n’est pas négociable, dit Breckenridge. Vous devez être en mesure d’expliquer un investissement de sécurité de 5 millions de dollars en termes de protection des revenus, de levier contractuel ou de réduction des primes d’assurance.

« Les conseils d’administration pensent en termes d’exposition, de valeur d’entreprise et de risque de baisse. Si vous ne parvenez pas à traduire votre stratégie dans ce cadre, vous aurez du mal à obtenir un soutien durable », déclare Breckenridge.

Défis et surprises qui attendent souvent une nouvelle OSC

« Ce que j’ai appris très tôt, et je n’étais pas prêt à cela, c’est que tout est une négociation », explique Hoak de RegScale. « Que vous ayez affaire à des fournisseurs ou à vos propres équipes, vous devez identifier les problèmes, puis négocier avec d’autres personnes pour qu’ils les comprennent ou qu’ils fassent ce qu’ils doivent faire.

«Je suis habitué au bon vieux temps, où l’on dit à quelqu’un de le faire, et il le fait», dit Hoak. « Maintenant, presque tout est une négociation, que vous montiez ou descendiez, que vous parliez à un supérieur ou à un subordonné. L’autre problème est que les problèmes les plus difficiles sont rarement de nature technique. La plupart du temps, vous êtes confronté à une mauvaise planification ou à une mauvaise communication. Je trouve que je passe maintenant beaucoup plus de temps à faire des recherches et à analyser les causes profondes qu’à résoudre les problèmes. »

« Il ne s’agit pas d’une crise de santé mentale provoquée par des pirates informatiques ; il s’agit d’un défaut de conception du leadership », explique Kirby. « Le point le plus important est que ce problème est entièrement réparable grâce à des modèles de délégation modernes, des structures d’équipe autonomes et un leadership basé sur la confiance. »

Étapes à suivre pour décrocher un rôle de CSO

« Concentrez-vous sur l’assurance continue », déclare Breckenridge. « À tout moment, vous devriez être en mesure de démontrer que vos contrôles fonctionnent comme prévu. Ce niveau de transparence transforme les conversations du conseil d’administration de réactives à stratégiques. »

Du point de vue du recrutement, Breckenridge conseille aux candidats de ne pas poursuivre le titre sans la compétence et la profondeur opérationnelle réelle pour le soutenir. La technologie évolue rapidement, l’environnement réglementaire se durcit et ce rôle comporte une véritable exposition personnelle.

Lorsque les candidats changent d’entreprise, ils sont évalués sur une portée, une autorité et des résultats mesurables, ajoute Breckenridge. Les conseils d’administration et les comités de recrutement examinent de près ce qui s’est passé sous votre direction. S’il y a eu des incidents importants, des contrôles faibles ou une portée exagérée par rapport à votre mandat réel, cela devient visible très rapidement. L’inflation des titres ne résiste pas à la diligence raisonnable.

« Les dirigeants à succès qui construisent des carrières durables dans ce rôle alignent la responsabilité sur l’autorité, parlent couramment à la fois des risques et des revenus et positionnent la sécurité comme une fonction stratégique intégrée de l’entreprise », déclare Breckenridge. « Lorsque vous y parvenez bien, vous ne vous contentez pas de protéger l’entreprise. Vous renforcez sa résilience et sa valeur d’entreprise à long terme. »

CSO et RSSISuite CCarrièresDirection informatique

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

quantum computing digital communication network security
Pékin veut ses propres normes de cryptage quantiques plutôt que d’adopter celles du NIST
shutterstock 144587243 open padlock hanging on a green gate rusty padlock unlocked padlock
L’erreur de plusieurs milliards de dollars : pourquoi les mauvaises configurations du cloud constituent votre plus grande menace pour la sécurité
ClickFix vous propose de nouvelles campagnes d'infostealer et
ClickFix vous propose de nouvelles campagnes d’infostealer et