Avec les mandats du CISO en moyenne seulement trois ans, beaucoup se demandent si le stress implacable, la responsabilité et les récompenses limitées rendent le rôle non durable.
Les tenures du CISO ne font en moyenne que de 18 à 26 mois, contre près de cinq ans pour la suite C plus large, selon le rapport de Ciso Workforce et HeadCount 2023 de Cybersecurity Ventures. Dans une profession où les enjeux sont riches en ciel et les retombées d’une seule erreur peuvent être définies par la carrière, cela soulève une question critique: les cisos partent-ils plus vite que jamais, et pourquoi?
Combattre les démangeaisons de trois ans
Tom Chapman, co-fondateur de la société de recrutement de cybersécurité Icebergs, a une vision de l’oiseau des trajectoires de carrière de Ciso. Sur la base des candidats qu’il a placés, il dit que trois ans concerne le mandat moyen des CISO ces jours-ci.
Il diffère de l’industrie à l’industrie, selon Chapman qui souligne, par exemple, qu’un CISO dans une startup, qui porte le plus souvent plusieurs chapeaux et supervise plus que la sécurité, ont tendance à avoir un séjour plus court de 18 mois à deux ans.
Il dit que les raisons varient, mais l’épuisement professionnel est souvent un dénominateur commun. «Dans l’espace de démarrage, il est très rapide», explique Chapman. «Il n’y a souvent pas non plus beaucoup de systèmes en place pour que les CISO travaillent, donc ils doivent construire à partir de zéro, et généralement pas avec les budgets les plus importants du monde. Les startups vont souvent», oh, nous pouvons simplement embaucher une personne pour tout faire », puis nous serons en sécurité. Mais ce n’est évidemment pas le cas.»
En revanche, les CISO dans les grandes organisations qui ont quelques milliers d’employés dans le monde, les budgets plus importants et plus de ressources ont tendance à rester plus longtemps.
«Les CISO entrent dans ces organisations ayant un plan. Plus de deux à trois ans, ils mettront en œuvre leurs changements, embaucheront des gens, ont mis en place de nouvelles équipes et renforceront vraiment la sécurité au sein de l’organisation», explique Chapman. « Mais en troisième année … cela atteint une étape de Bau et il n’y a rien de tout cela qui les excite … et ils regardent autour de lui parce qu’ils ont réalisé ce qu’ils veulent faire. Ensuite, ils disent qu’ils veulent aller et refaire cela pour une autre organisation. »
Pour les plus grandes organisations telles que les banques d’investissement mondiales, les détaillants, les sociétés de commerce électronique, les mandats de la CISO peuvent s’étendre davantage. «Ces gens dans les entreprises beaucoup plus grandes ont des équipes qui sont de deux ou trois cents personnes.
Le stress vaut-il le sacrifice?
Pour d’autres dans le rôle de CISO, y compris le Ciso Shahar Geiger Maor de Fullpath, le problème est moins une question d’ennui et plus de la tension constante. «À tout moment, il peut y avoir une brèche. Vous vivez en supposant que quelque chose va mal, et c’est très stressant», dit-il.
Geiger Maor a également décrit le travail comme fondamentalement contradictoire, soulignant qu’au-delà du risque technique auxquels les CISO sont confrontées, les compétences générales nécessaires dans le rôle et la politique d’entreprise auxquelles les CISO sont souvent confrontées peuvent également peser.
«Un CISO interagit avec beaucoup d’interfaces, et vous devez avoir des compétences générales et bien communiquer avec les autres. Dans de nombreux cas, vous devez conduire les autres à agir, et c’est super fastidieux. Il est très difficile de continuer à le faire au fil du temps», explique Geiger Maor. « Dans de nombreux cas, vous êtes en conflit direct avec les objectifs de l’entreprise et vos objectifs. Vous êtes comme un poisson saumon en amont contre tout le monde. Cela rend très difficile le maintien d’un long mandat. »
Même les temps d’arrêt sont insaisissables. Geiger Maor dit que même lorsqu’il est en vacances, il prend son ordinateur portable et ne se déconnecte jamais des canaux lâches de l’entreprise. «C’est tellement basique pour moi», dit-il. « Lorsque vous partez en vacances, vous ne pouvez pas vraiment vous déconnecter. Vous – ou au moins une partie de vous – devez être de retour au travail à tout moment parce que quelque chose peut mal tourner. C’est difficile, mais cela fait partie du rôle. »
Risque de responsabilité contre récompense
Cette exposition constante au risque et au blâme est une autre raison pour laquelle certains cisos hésitent à jouer le rôle en premier lieu, selon Rona Spiegel, directrice principale, sécurité et confiance, fusions et acquisitions chez Autodesk et ancien chef de la gouvernance du cloud chez Wells Fargo et Cisco.
«Les méchants, surtout maintenant avec l’IA et l’automatisation, ils deviennent plus sophistiqués, et ils ne doivent avoir raison qu’une seule fois, mais le CISO doit avoir raison toute la journée. Ils ne doivent avoir tort qu’une seule fois, et ils sont blâmés… vous êtes un centre de coût opérationnel, peu importe ce que vous n’engagez pas les revenus, donc si quelque chose ne va pas… Toutes les routes mènent à la CISO», dit Spiegel.
Spiegel souligne qu’il s’agit d’un risque résiduel que les CISO connaissent depuis longtemps mais commencent à remettre en question, ce qui a finalement un impact sur leur mandat. Une enquête Blackfog a révélé que 70% des CISO ont déclaré que l’audition d’histoires de CISO est tenue personnellement responsable des incidents de cybersécurité a affecté négativement leur opinion sur le rôle.
«Ce que nous faisons en cybersécurité, c’est gérer les risques, donc ce que les CISO font, c’est partager avec le conseil d’administration, le comité d’audit, l’équipe de direction, la probabilité et l’impact d’un incident qui se produise et recommande ensuite d’atténuer les contrôles pour compenser cela», dit-elle. « Ensuite, les CISO doivent déterminer si le risque résiduel est quelque chose qu’ils peuvent accepter car, finalement, tous les conseils que les CISO donnent sont oubliés lorsqu’un incident se produit, même s’il n’est pas intentionnel. »
Sans surprise, comme le note Chapman, les CISO tiennent également compte de la question de savoir si leur salaire vaut parfois la position risquée dans laquelle ils se mettent. «À Londres en particulier, les salaires sont bons pour les CISO mais pas par rapport aux États-Unis.
C’est plus que le titre CISO
Cependant, tous ceux qui quittent le rôle du CISO ne le font pas parce qu’ils sont épuisés. Pour beaucoup, c’est une question d’ajustement, de motivation et d’orientation de carrière. «Je ne crois pas à être un CISO trop longtemps en un seul endroit, parce que vous devenez terne, vos instincts ne sont pas si aigus», explique Geiger Maor. « Le conduite sous une menace continue vous maintient plus net. »
Il voit également les cisos pivoter dans des domaines connexes. « Un changement de carrière peut être que vous rejoignez peut-être un fournisseur de sécurité et que vous soyez un vendeur ou que vous vous déplacez dans des rôles de gestion. D’autres deviennent des rôles de CISO plus importants étape par étape. Mais je vois des collègues qui en ont juste assez. Ils préfèrent gagner moins mais vivre plus. »
Chapman constate également une augmentation des cisos fractionnaires, amené à temps partiel pour mettre en place des cadres ou superviser des projets spécifiques. «Cela revient vraiment à l’individu», dit-il. « Certains veulent ce siège supérieur, parlant au conseil d’administration, communiquant des risques. Mais je vois aussi certains dire: » Cela ne doit pas être un rôle de CISO. « »
Spiegel ajoute que pour certains, le secret est de savoir quand bouger. « Vous devez sortir quand ce n’est pas le bon endroit pour être. C’est juste une question d’ajustement. »
Le rôle évolutif d’un CISO
Un trait qui a émergé comme un facteur décisif pour savoir si un CISO prospère ou s’épuise dans le rôle est la communication. «C’est incroyable de voir combien de clients me disent que leur plus grande exigence est la communication», explique Chapman. «Cette personne peut-elle communiquer au conseil d’administration, à d’autres dirigeants, aux équipes de l’entreprise? La communication est probablement le trait numéro un qu’elle recherche.»
Dans le même temps, Spiegel soutient que les cicatrices des incidents peuvent être précieuses. «Franchement, subir une violation est un badge d’honneur de bonbons, et vous apprenez beaucoup. Si vous embauchez un CISO avec un dossier complètement propre, pour autant que vous le sachiez, sont-ils plus expérimentés que ceux qui se sont assis sur le fauteuil?
Malgré la perception tournante des portes, Spiegel pense que la profession mûrit toujours. «Travailler dans cet espace, les gens sont très favorables et le facteur concurrentiel est relativement limité. Les gens veulent vraiment que tout le monde et les CISO réussissent. Nous voulons créer une certaine stabilité et standardisation dans l’espace, afin que l’industrie, les entreprises et les clients que nous protégeons sachent à quoi ils s’inscrivent et peuvent être confiants qu’il s’agit d’une pratique cohérente et stable.»
Alors, les mandats du CISO deviennent-ils plus courts? La réponse est à la fois oui et non. Dans l’ensemble, le CSIOS est confronté à la responsabilité implacable, à l’exposition au risque et au sentiment qu’aucune quantité de préparation ne peut complètement se protéger contre le blâme. Pour certains, c’est une raison suffisante pour s’éloigner. Pour d’autres, c’est du carburant pour relever le prochain défi.
