Passer d’un secteur à l’autre n’est pas seulement une question d’expérience, c’est aussi une question de transfert de compétences, de compréhension de l’entreprise et de gestion des risques dans de nouveaux environnements.
De l’extérieur, lorsqu’une personne atteint le niveau RSSI, le passage au poste suivant devrait être facile. Après tout, ils ont déjà atteint le sommet. Mais de nombreux responsables de la sécurité constatent le contraire. Une fois qu’ils sont dans une certaine industrie, il est plus difficile d’en sortir.
Les dirigeants et les recruteurs supposent souvent que l’expérience d’un RSSI ne se traduit que dans leur secteur actuel. Marc Ashworth, RSSI de First Bank, dont la carrière s’étend sur l’aérospatiale, la santé et la finance, a vu cela se produire à plusieurs reprises.
« Vous voyez des gens rester dans le même secteur… il semble que ceux du monde des startups restent dans le monde des startups, ceux du développement de logiciels y restent. Une fois que vous arrivez dans de plus grandes entreprises, vous avez tendance à rester dans ces grandes entreprises. Alors que si vous êtes dans une petite ou moyenne entreprise, il est plus difficile d’accéder à une plus grande entreprise. »
Cette perception n’est pas arbitraire, elle est plutôt ancrée dans la manière dont fonctionne le recrutement des cadres, selon Sal DiMarco, associé directeur mondial des technologies avancées au sein de la société de conseil en talents DHR Global. « À l’époque, vous restiez dans votre secteur. Vous étiez un industriel, un détaillant, un spécialiste des télécommunications, un spécialiste des logiciels. Vous restiez dans votre voie et c’est ce que c’était. »
DiMarco souligne que la convergence des technologies au cours des 15 dernières années a commencé à modifier cette perception. Il affirme que les technologies d’entreprise sont devenues plus standardisées dans tous les secteurs, permettant aux RSSI de se déplacer plus librement entre les secteurs.
« La technologie est devenue omniprésente dans tous les secteurs », dit-il. Mais DiMarco prévient que les opportunités à elles seules ne suffisent pas : les RSSI doivent encore redéfinir activement les raisons pour lesquelles ils sont aptes à occuper ce poste.
Alors, comment les RSSI peuvent-ils évoluer avec succès d’un secteur à l’autre et prouver que leurs compétences sont transférables ?
Du conseil à la recherche de similitudes entre différents secteurs
Construire un ensemble de compétences transférables est essentiel pour ceux qui cherchent à changer de secteur. Pour le tout premier RSSI de Dell, Tim Youngblood, l’adaptabilité n’a jamais été un luxe mais une exigence. Ses premières années en tant que consultant chez KPMG lui ont permis d’être aux premières loges pour relever les défis de plusieurs secteurs avant de se lancer dans la cybersécurité. Ces premières années ont également appris à Youngblood que même si chaque secteur a ses propres nuances, les principes fondamentaux de sécurité restent les mêmes.
« J’ai toujours cru que la variété était le piment de la vie », dit-il. « J’ai travaillé pour KPMG pendant plusieurs années, au service de 30 clients différents par an dans de multiples secteurs, pétrole et gaz, soins de santé, services financiers, etc. Au fur et à mesure que ma carrière progressait, j’ai tiré une grande partie de ces apprentissages clés de mes journées de conseil. Je me sentais à l’aise de pouvoir travailler pour n’importe quelle entreprise dans n’importe quel secteur et réussir avec ce que je savais. »
Comme Youngblood, les activités de conseil d’Ashworth sont devenues sa superpuissance. Il dit que cela lui a donné la possibilité de passer d’un travail à un autre vertical sans perdre de vue ses objectifs clés, à savoir identifier les risques et trouver des solutions.
Youngblood souligne également la nécessité de collaborer avec des centres de partage et d’analyse d’informations (ISAC) spécifiques à un secteur, qu’il s’agisse des soins de santé, de la finance, de la vente au détail ou même du secteur maritime. « Ces groupes ont été lancés par le gouvernement pour permettre le partage entre les secteurs public et privé, et c’est une excellente voie à suivre pour comprendre comment d’autres industries résolvent le même problème. »
Du point de vue du recrutement, la meilleure chance que quiconque puisse avoir s’il passe d’une formation de conseil est de passer à un rôle de RSSI chez l’un de ses clients, ce qui, selon DiMarco, est courant. « Parce que vous êtes une marchandise connue et qu’ils ont vu comment vous travaillez. Ils pourront dire que vous êtes consultatif, que vous êtes stratégique et que vous savez comment mettre en œuvre une stratégie. Je les ai vus en action et je suis prêt à leur donner une chance de se lancer dans l’entreprise. «
Pour les RSSI sans expérience en conseil, mais qui souhaitent tout de même changer de secteur, DiMarco recommande d’identifier les secteurs présentant des similitudes structurelles ou les industries adjacentes, car il s’agit de la transition la plus facile. Il décrit ce type de mouvements comme des « petits pas » vers un changement vertical plus important.
« Prenez quelqu’un du secteur pharmaceutique et placez-le dans une organisation de soins de santé. Ce ne sont pas les mêmes modèles et beaucoup de choses sont différentes, mais l’infrastructure de ces entreprises, d’un point de vue technologique, est similaire. Vous avez toujours affaire à un environnement réglementé et à tout ce qui entre dans la réglementation en matière de technologie. «
Comprendre et démontrer les résultats obtenus
Faire le saut dans une nouvelle industrie ne consiste pas à correspondre aux anciens titres de poste, mais à prouver que vous pouvez créer un impact dans un nouveau contexte. DiMarco dit que la clé est de démontrer sa pertinence dès le début.
« Lorsque je présente un candidat, j’explique ce qu’il a fait, comment il l’a fait et quel a été son impact sur son organisation dans son secteur spécifique », dit-il. « Si ce qu’ils ont fait et comment ils l’ont fait, et quel a été leur impact sur l’organisation, trouve un écho là où cette entreprise veut aller, ils sont beaucoup plus susceptibles de dire : ‘Je me fiche d’où vient cette personne parce qu’elle a fait exactement ce que je voulais faire dans cette organisation’. Il s’agit de résultats, mais il s’agit d’articuler les résultats de la façon dont vous allez le faire si vous entrez dans un secteur différent. «
Youngblood a adopté cette approche lorsqu’il est passé du poste de RSSI chez Kimberly-Clark à celui de McDonald’s. « De l’extérieur, tout le monde voit les arches dorées, et elles ont toutes la même apparence et la même sensation », dit-il. « Mais en fin de compte, il y a les coentreprises, les licences conventionnelles et les licenciés nationaux. Lorsque vous êtes RSSI, vous devez essayer de rassembler tout le monde, même s’ils fonctionnent légèrement différemment. »
Au-delà des structures opérationnelles, Youngblood a également dû s’adapter rapidement aux menaces spécifiques au secteur. « Chez T-Mobile, l’échange de cartes SIM est un problème majeur dans le secteur des télécommunications. La plupart des gens ne réalisent pas à quel point cela se produit fréquemment. C’est une industrie qui pèse des milliards de dollars, parfois financée par l’État. Certains d’entre eux se trouvent dans le back-office et prennent directement en charge l’identité d’une personne, ce qui peut causer beaucoup de dégâts. «
Pour Michael Meline, PDG de Cyber Self-Defense, dont la carrière a débuté dans les forces de l’ordre avant de se lancer dans la cybersécurité dans les services financiers puis dans la santé, le moyen le plus rapide de renforcer sa crédibilité dans un nouveau secteur est de comprendre en profondeur le paysage des risques.
« Vous êtes confrontés à une grande partie des mêmes risques, il s’agit donc vraiment de gestion des risques. Peu importe le domaine dans lequel vous travaillez, mon intention en matière de cybersécurité est d’y aller, d’identifier les risques, puis d’élaborer un plan pour les atténuer. »
Démontrer que vous comprenez le paysage des risques peut donner aux candidats un avantage significatif. « Décrivez les domaines dans lesquels vous pensez que vos compétences sont transférables du secteur dans lequel vous évoluez à ce que vous savez sur les autres secteurs qui pourraient vous intéresser, puis commençons à parler d’exemples de ce que vous avez fait dans votre secteur et de la manière dont nous pensons que cela peut être lié aux secteurs que vous parlez de cibler et que nous bâtirions à partir de là », explique DiMarco.
Évitez de vous laisser cataloguer
Le plus grand risque de carrière pour de nombreux RSSI n’est pas l’épuisement professionnel ou la violation de données, mais le fait d’être perçu comme un opérateur mono-secteur. Le conseil d’Ashworth est de se concentrer sur la démonstration de compétences transférables. « Il s’agit d’obtenir l’emploi pour lequel vous postulez et de réaliser que ces principes sont les mêmes, quel que soit le secteur dans lequel vous travaillez. Qu’il s’agisse de l’aérospatiale, de la santé ou de la finance, les principes sont les mêmes. Montrez-le et vous éviterez d’être catalogué. »
Pour Meline, éviter d’être catalogué commence avant de se lancer dans un nouveau secteur, en se concentrant d’abord sur le risque, puis en se renseignant sur l’entreprise. « Au fur et à mesure de ma carrière, j’ai découvert que la cybersécurité n’est rien d’autre que la gestion des risques. En tant que flic, j’identifierais les risques et prendrais les mesures appropriées pour les atténuer », dit-il. « C’est la même chose lorsque je gère les risques dans le monde de l’entreprise. Je travaille avec les parties prenantes du bas vers le haut de l’organisation et je collabore sur la manière dont nous gérons ce risque, puis j’élabore le plan approprié pour gérer le risque d’une manière qui répond aux besoins. »
En fin de compte, DiMarco affirme que la clé est de faire preuve de pertinence et d’être capable d’établir des parallèles entre les secteurs. « Cela se résume au caractère unique du candidat et à vos analogies quant à votre proximité avec ces autres secteurs. »
