Comment les cisos peuvent lutter contre l’épuisement et prolonger leur carrière

Lucas Morel

La sécurité est un champ difficile – un arrêt. Et l’écart des compétences en cybersécurité d’aujourd’hui et les problèmes économiques ne font qu’empirer les choses. Nous nous sommes tournés vers les leaders de l’industrie pour obtenir des conseils sur la façon dont les dirigeants peuvent prospérer sous la pression.

En effectuant plus d’une décennie en tant que directeur de la sécurité de l’information pour le Commonwealth de Pennsylvanie, Erik Avakian a non seulement réussi à survivre à trois gouverneurs successifs, mais a également dépassé le mandat moyen d’autres cisos – 18 à 26 mois.

Ce n’est pas qu’Avakian n’avait pas de stress ou ne se sentait pas épuisé comme ses pairs de l’industrie. Il le faisait de temps en temps. Mais il se considérait comme un combattant et aimait le défi de repousser les pirates – c’est-à-dire jusqu’à l’automne dernier, quand il a décidé qu’il était enfin temps de faire autre chose.

«Je me sens en fait mieux mentalement et physiquement maintenant», admet Avakian, maintenant dans le secteur privé en tant que conseiller technique pour la recherche sur les technologies de l’information. «Mon visage est plus brillant et je suis en meilleure santé dans l’ensemble.»

Avakian n’est pas le seul à vouloir un changement. En fait, une enquête Blackfog en 2024 a rapporté que près de 1 CISO sur 4 envisage de quitter la profession en raison du stress.

C’est une situation qui devient incontrôlable depuis un certain temps maintenant. Mais les professionnels de la sécurité disent qu’ils croient que cela peut être renvoyé s’ils abordent activement les causes profondes des problèmes.

Le cœur de la question

Un problème est de se sentir coincé dans un travail ingrat. La plupart des CISO font rapport aux chefs d’information (DSI). Comme leurs patrons, ils devraient favoriser l’efficacité opérationnelle. Ils obtiennent rarement une tape dans le dos. Ils n’entendent que le leadership que lorsque les choses tournent mal, et ils passent plus de temps à dire aux gens que de demander comment ils peuvent aider leurs collègues à stimuler l’innovation. Les CISO sont également considérées comme des centres de coûts par opposition aux sources de revenus.

Rien de tout cela ne les rend populaires.

«Vous obtenez beaucoup de gens qui pensent que la sécurité consiste à ralentir les choses lorsqu’ils essaient de faire les affaires», explique Chris Prewitt, CTO / CISO pour Inversion6, un fournisseur de gestion des risques de cybersécurité. « Vous poussez l’inertie de l’entreprise – ou du moins c’est la perception commune. »

De plus, parce que les CISO sont assis à plusieurs niveaux hiérarchiques de la suite C et ne se rendent que le conseil d’administration quelques fois par an, ils souffrent d’être hors de vue et hors de l’esprit. Le développement de leurs métriques de succès passe souvent à travers de multiples niveaux de revue, date à laquelle les attentes peuvent avoir été édulcorées tellement qu’elles ne reflètent plus la réalité.

Un CISO pour un grand producteur de nourriture et de collations a déclaré qu’un DSI dans sa précédente entreprise a même changé son rapport de conformité de l’usine pour montrer de meilleurs résultats lors d’une présentation du conseil d’administration.

«C’est le genre de chose qui ajoute du stress», explique le CISO, qui souhaitait rester anonyme. «Je ne sais pas si c’était nécessairement malveillant, mais je l’ai considéré comme une violation de mon intégrité, et donc j’ai exprimé un peu. En fin de compte, en tant que CISO signalant le conseil d’administration, il m’a vraiment dit qu’il serait peut-être temps de sortir de là. »

Une difficulté connexe: responsabilité sans autorité. La plupart des CISO sont sur appel 24 heures sur 24, car les violations peuvent se produire à tout moment. La plupart travaillent 16,5 heures exténuantes par semaine plus que ce qu’ils ont contracté. Mais si une cyberattaque se produit et qu’il ne peut pas atteindre quelqu’un pour autoriser une réponse rapide, le blâme est susceptible d’atterrir carrément sur les épaules du CISO.

«Beaucoup de cisos ont du mal à être acceptés dans le cadre de la fraternité C-suite, mais tous devraient se comporter comme un directeur de la suite C lorsqu’il convient à nos seigneurs et maîtres», explique Paul Watts, ancien CISO à Kantar, un Data Analytics Consultancy, ainsi qu’à Domino’s Pizza. Il sert désormais d’analyste distingué pour le Forum de sécurité de l’information (ISF).

Travailler avec la haute direction

Bien sûr, si les CISO pouvaient forger des relations solides avec des hauts dirigeants et des membres du conseil d’administration, un blâme injustifié pourrait être évité. Mais beaucoup sont des technologues tactiques qui n’ont pas les compétences générales à gérer. En tant que tels, ils manquent de faire en sorte que les sponsors seniors regardent leur dos tout en ayant du mal à obtenir un soutien exécutif pour les besoins critiques de budgétisation et de dotation.

«Être un CISO ne consiste plus à savoir lire une capture de paquets; Il s’agit de savoir comment ce qui se trouve dans cette capture de paquets affecte l’organisation », explique Avakian. «Malheureusement, vous voyez beaucoup de jeunes cisos qui ont encore besoin de développer leurs compétences en communication d’entreprise. Ils ont parfois du mal à communiquer avec le leadership, n’obtiennent pas l’adhésion à leurs programmes et finissent par partir. »

De nombreux CISO ont également du mal avec la complexité croissante, la sophistication et l’ampleur des cyberattaques qui se présentent, selon les professionnels de la sécurité. Les outils de piratage automatisés, qui utilisent l’intelligence artificielle (AI) et l’apprentissage automatique (ML) pour rechercher des trous dans les réseaux et les pénétrer à grande échelle, pourraient bientôt donner un avantage des pirates. Même avec leurs propres contre-mesures d’IA et de ML, les équipes de sécurité informatique sont souvent trop effitées ou inexpérimentées pour garder l’essaim des pirates armés de l’IA à distance.

Steve Zalewski, ancien CISO pour Levi Strauss, dit que son équipe a souvent frappé son poids, car il n’avait que beaucoup de budget et de capacité à combattre des pirates de plus en plus compétents. «Je me suis rendu compte que nous avions utilisé chaque astuce du livre et que nous comptions de plus en plus souvent sur la chance», explique Zalewski, qui a quitté la profession pour démarrer S3 Consulting, un service de conseil en cybersécurité. « C’est à ce moment que la frustration s’accumule, parce que vous voulez en faire beaucoup plus. »

Alors, comment s’élever au-dessus de la mêlée?

Il n’est pas facile de surmonter l’exaspération et le faible moral. Mais les CISO peuvent améliorer leur bien-être et prolonger leur carrière en suivant ces quatre recommandations:

1. Négocier une meilleure affaire

Dans le rôle de la CISO, il est important – pour le bien de la santé mentale – de négocier les conditions d’emploi. Une discussion devrait idéalement se produire avant d’accepter un poste. Mais si vous avez déjà été embauché, avoir une conversation franche sur les problèmes avec le DSI ou le chef de département devrait se produire avant de lancer les mains et de sortir.

Une partie de cette conversation devrait inclure une compréhension initiale sur ce à quoi s’attendre en termes de budget et de personnel. Si une organisation limite ou réduit les investissements en cybersécurité, il ne peut pas s’attendre à ce que les CISO à court de ressources fournissent les mêmes résultats qu’avant les coupes.

«J’ai vu plusieurs situations où les CISO ont été conservées, mais leur budget et leur dotation ont été considérablement réduits, et ils n’ont pas pu faire leur travail efficacement», explique Zalewski. «Si votre budget est réduit, vous avez l’obligation de renégocier les attentes contractuelles avec votre leadership. Si vous impliquez simplement que vous ferez plus avec moins, honte à vous, car c’est ce que l’équipe de direction espère que vous ferez. « 

Le CISO de The Food and Snack Company recommande également de se mettre au courant du dilemme de la responsabilité sans autorité en obtenant le droit d’agir si une cyberattaque grave a déjà eu lieu, une marque de marque du cadre zéro-frust. Les CISO devraient également s’assurer que leurs employeurs leur offrent la même cyber-protection par le biais d’administrateurs et d’officiers (D&O) responsabilité que les membres C et les membres du conseil d’administration reçoivent, dit-il. L’assurance les protège s’ils sont poursuivis ou même confrontés à des accusations criminelles à la suite d’une attaque, comme l’a vécu le directeur de la sécurité d’Uber, Joseph Sullivan, après avoir été reconnu coupable d’un crime pour avoir caché une violation.

« Si une sorte de cas civil ou pénal est venu et que vous n’aviez aucune protection D&O, alors vous devriez avoir votre propre politique », explique le CISO. «C’est une chose clé que les CISO devraient discuter lors de l’examen d’un emploi.»

2. Apprenez et pratiquez les compétences générales

Les cisos du futur ne peuvent pas réussir en s’appuyant sur leurs seuls côtes techniques. Étant donné que les problèmes de cybersécurité ont un impact croissant sur les résultats, les hauts dirigeants se tourneront vers les membres du personnel de sécurité informatique pour expliquer comment ils protègent les actifs de l’organisation tout en lui permettant de mener des affaires et de stimuler l’innovation plus facilement. La préservation de l’emploi exige donc que les CISO apprennent à parler en affaires plutôt qu’en termes techniques.

Certains cisos acquièrent ces compétences générales au fil du temps. Mais avec le paysage de la menace en expansion et en s’intensifiant constamment, ce n’est pas assez rapide. Avakian recommande de s’inscrire à un programme de formation en communication d’entreprise pour accélérer l’apprentissage. Certains programmes de certificats de cybersécurité offrent également des cours de communication exécutive dans le cadre de leur programme, note-t-il.

3. Travaillez-vous que vous vous souciez

Michael P. Leiter, psychologue organisationnel et co-auteur du Burnout Challenge, dit que les CISO peuvent également minimiser les irritations en faisant baisser les éléments de leur travail les motivent, puis poussant lentement leurs programmes et charges de travail dans ces directions.

«Peu de gens ont des emplois qu’ils aiment à chaque minute de la journée», explique Leiter, ancien professeur de psychologie organisationnelle à l’Université Deakin en Australie. « Le but devrait être d’obtenir un meilleur équilibre entre les choses que vous aimez vraiment faire et les choses que vous ne faites pas. »

4. prioriser l’esprit et le corps

Le travail de cybersécurité peut menacer de rendre les CISO folles ou de leur coûter la tranquillité d’esprit. Pour cette raison, certains professionnels de la sécurité recommandent d’investir du temps dans la thérapie ou d’autres activités de santé mentale.

«Je pense que chaque CISO doit se concentrer sur son bien-être général», explique Avakian. «Vous avez besoin de beaucoup de force mentale dans ce travail. Vous voudrez vous engager à rester en bonne santé, à la fois physiquement et mentalement, afin que vous puissiez être un leader efficace et un bon intendant pour votre équipe. « 

Il est également important pour le CISO de vérifier régulièrement avec les individus de l’équipe de sécurité pour voir comment ils vont, ajoute-t-il.

Les CISO ont également besoin de force physique et d’endurance, c’est pourquoi 80% des 250 dirigeants technologiques ont dit à Onelogine qu’ils utilisaient de l’exercice pour compenser leurs pressions professionnelles.

« Ce que nous savons, c’est que l’état actuel du corps influence les comportements, les sentiments et la pensée », a déclaré Robin Massey, psychologue industriel-organisationnel, dans un communiqué.

«Par conséquent, il est important de comprendre comment les facteurs physiologiques sont liés à la relationnelle et au psychologique.»

Ce sont des conseils durs du corps à l’esprit. Mais cela est utile pour quiconque est assis sur le siège chaud de la cybersécurité.

Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.