Les organisations ne peuvent plus se permettre d’attendre que le leader de la cybersécurité remette leur démission pour commencer à chercher un remplaçant, ils doivent avoir un plan de succession qui regarde au sein de la cyber-équipe pour les candidats potentiels et investir dans leur croissance.
Le chiffre d’affaires du CISO montre des signes de stabilité, passant de 21% en 2022 à 12% en 2023 et à un 11% annualisé au premier semestre de 2024, selon IANS Research et le rapport d’Artico Search. Pourtant, les organisations sont confrontées à une dure réalité: lorsque leur haut responsable de la sécurité part, il n’y a souvent que personne n’est prêt à entrer dans le rôle.
Cette stabilité masque un problème sous-jacent: la plupart des entreprises n’ont pas de plans de succession clairs ou de programmes solides pour préparer les futurs CISO, les laissant exposés lorsque le leadership change.
Le problème n’est pas seulement de trouver des personnes ayant des compétences techniques, c’est développer des gens qui peuvent également parler aux cadres et penser comme les chefs d’entreprise. Mais il n’est pas facile de développer des leaders en interne qui comprennent également les affaires, peuvent bien communiquer et penser stratégiquement. Ce sont les qualités qui transforment un professionnel de la sécurité en CISO. Avec l’augmentation des cyber-menaces et les réglementations qui s’accumulent, l’écart entre le travail de sécurité pratique et le leadership exécutif n’a jamais été plus large.
Le vide de planification de la succession
À quelle fréquence les entreprises ont-elles des plans de succession CISO officiels? «Je dirais presque jamais», explique Maggie Myers, consultante en cours de recherche de direction chez Korn Ferry. Ce manque de planification est exactement pourquoi tant de gens finissent par se tourner vers son entreprise, ajoute-t-elle.
Sans un plan pour développer des leaders de l’intérieur, les entreprises se laissent exposées. Ils finissent par s’appuyer sur les embauches extérieures – un processus qui peut prendre des mois et laisser les rôles de sécurité clés vides entre-temps.
L’histoire que Myers entend le plus souvent des clients est familière. «Nous avons un numéro deux. Ils adoreraient mettre leur chapeau dans le ring pour le meilleur emploi», note-t-elle. «Et presque chaque fois que nous entendons,« techniquement, ils sont excellents. Rock solide. Ils peuvent exécuter des opérations de classe mondiale ».» Mais le problème est qu’ils n’ont vraiment pas appris à relier la cybersécurité à la stratégie d’entreprise, à la stratégie commerciale, à la fusion et à la croissance des acquisitions, et à cet état d’esprit stratégique plus large autour de la cybersécurité, explique-t-elle.
Même les organisations qui ont géré les transitions internes du CISO l’ont souvent fait sans planification formelle. Marty Barrack, CISO et chef juridique et responsable de la conformité chez XiFin, sont passés dans le rôle de CISO organiquement après avoir commencé en tant que conseiller général en 2018. « Donc, nous n’en avions jamais auparavant », a déclaré Barrack à propos de la planification de la succession dans son entreprise. «Le rôle était une reconnaissance de la direction et de la surveillance que j’exerçais sur la fonction de sécurité.»
De même, Chris Holden, vice-président principal et CISO chez Crum & Forster, est entré dans son rôle après le départ du CISO précédent. «À l’époque, il n’y avait pas de plan de succession officiel», dit-il.
La fracture technique à stratégique
Un obstacle majeur empêchant de nombreux professionnels de la sécurité de niveau intermédiaire de devenir des CISO n’est pas leurs compétences technologiques – il apprend à passer de la réalisation de travaux de sécurité pratiques à des partenaires commerciaux stratégiques. Ce changement prend un tout nouvel ensemble de compétences et une façon de penser différente.
«Je pense que vous voyez cela avec beaucoup de CISO. «Plus de 50% de mon temps maintenant, c’est (dépensé) interagir avec des cadres non techniques qui ont une perspective très différente sur ce que je pensais que la cybersécurité était.»
Le défi va au-delà de la simple communication avec les cadres. «Si un professionnel de la cybersécurité veut devenir CISO, il doit passer par une transition de l’accent mis sur les activités tactiques impliquant des problèmes de sécurité et élargir ses perspectives aux risques globaux et aux processus commerciaux de l’entreprise et au rôle de la cybersécurité», a déclaré Barrack.
Cette perspective plus large englobe la compréhension de la façon dont la cybersécurité correspond aux technologies de l’information, à la conformité, aux relations avec les clients, à la gestion des fournisseurs et à d’autres parties prenantes de l’entreprise, y compris les considérations environnementales, sociales et de gouvernance qui incluent désormais fréquemment des composantes de cybersécurité, selon Barrack.
«Vous devez être en mesure d’analyser les problèmes à ce niveau plus large et de communiquer cela aux membres du conseil d’administration, aux autres cadres et aux parties prenantes tierces», explique Barrack. Cela nécessite «une reconnaissance des divers problèmes qui doivent être résolus, un cadre approprié pour votre analyse et une manière appropriée d’équilibrer ce risque afin que vos priorités reflètent les priorités de votre entreprise».
L’évolution de la gestion des risques
Une autre raison pour laquelle le pipeline CISO est si mince est que de nombreux leaders de la sécurité ne font jamais le saut dans la façon dont ils voient le risque. Ils sont formés pour le voir en noir et blanc – réparer chaque défaut, bloquer chaque menace. Mais le rôle du CISO concerne également les compromis, l’équilibre de la sécurité aux besoins commerciaux et la possibilité d’expliquer ces choix au conseil d’administration. Sans ce changement, il n’y a tout simplement pas assez de candidats internes prêts à entrer dans le meilleur emploi.
Barrack a découvert cela de première main lors de sa transition. «L’une des choses que j’ai reconnue assez rapidement était que le point de vue d’un avocat sur le risque n’était pas la bonne perspective», dit-il. Pour combler cette lacune, il a poursuivi la certification certifiée en matière de contrôle des risques et des systèmes d’information auprès de l’ISACA. «Cela m’a vraiment aidé à explorer les risques du point de vue de la sécurité et du point de vue des entreprises, plutôt que dans une perspective juridique et réglementaire», explique Barrack.
La principale différence se résume à ce qui est prioritaire. «Je ne pense pas que les avocats soient formidables pour prioriser les risques, car ils considèrent généralement tous les risques comme ayant besoin d’être traités», explique Barrack.
La cybersécurité consiste vraiment à faire face à des menaces constantes – logiciels obsolètes, défauts cachés, e-mails de phishing, fraude et attaques qui peuvent provenir de l’intérieur et de l’extérieur de l’entreprise. Le véritable travail d’un CISO est de décider quels risques comptent le plus et de déterminer comment définir les bonnes priorités.
Et cette perspective de gestion des risques doit être communiquée efficacement dans toute l’organisation. «Le rôle de la CISO est un rôle de gestion des risques qui communique clairement à toutes les parties prenantes que la fonction de gestion des risques est gérée correctement et efficacement pour offrir une bonne sécurité de manière efficace», note Barrack.
Obstacles structurels au développement
Assayer le rôle de leader de la cybersécurité ne concerne pas seulement les compétences individuelles, la façon dont de nombreuses entreprises sont structurées empêchent les leaders de la sécurité de niveau moyen d’obtenir l’expérience dont ils auraient besoin pour participer à un rôle de CISO. Myers souligne plusieurs problèmes systémiques qui rendent la planification efficace de la succession difficile.
«Pour de nombreux cas, le rôle de CISO pour le premier emploi est encore assez varié au sein de l’organisation, qu’ils relèvent du CIO, du directeur financier ou du PDG», explique-t-elle. « Cela limite la visibilité et l’influence stratégiques, ce qui signifie que le numéro deux n’obtient pas vraiment l’exposition des dirigeants ou l’engagement au niveau du conseil d’administration nécessaire pour vraiment passer dans ce rôle. »
Le problème empire en raison de la façon dont les entreprises sont mises en place, selon Myers. Les CISO supervisent souvent un large éventail de responsabilités, de risques, de conformité, de gouvernance, de fournisseurs, de confidentialité des données et de gestion des crises. Mais les cyber-équipes sont généralement maigres et divisées en fonctions étroites, donc la plupart des députés ne voient qu’un morceau de l’image. Cette vue limitée rend difficile pour eux d’être vraiment prêts pour le premier emploi.
L’expérience du conseil d’administration présente une autre barrière importante. «Le CISO doit avoir une expérience du conseil d’administration, en particulier en fonction de l’industrie ou du type d’entreprise et de sa structure de propriété. C’est assez critique», explique Myers. « C’est une chose difficile à entrer le premier jour et à avoir cette crédibilité et cette confiance sans avoir eu l’occasion de la développer tout au long de votre mandat. »
De plus, certains professionnels techniques hautement qualifiés n’ont tout simplement aucun intérêt pour les responsabilités de gestion. Holden reconnaît ce défi: «Certaines des meilleures et les plus techniques que j’ai jamais rencontrées n’ont tout simplement aucun intérêt à faire face à la gestion des personnes», dit-il. «Ils aiment vraiment la récompense de satisfaction personnelle d’être ce contributeur individuel.»
Construire des programmes de succession efficaces
Les organisations qui ont développé des programmes de succession réussies partagent plusieurs approches communes. L’élément le plus critique est la planification précoce et intentionnelle qui commence immédiatement lorsqu’un nouveau CISO joue le rôle.
«Ils commencent le premier jour», dit Myers à propos des cisos les plus avant-gardistes. «Ils entrent et la première chose qu’ils font est d’évaluer le talent, d’évaluer l’équipe et de commencer immédiatement à penser à leur plan de relève, comme identifier qui sont les potentiels au sein de leur organisation.»
La clé est de créer une position de CISO adjointe plutôt que de simplement élever les leaders fonctionnels existants. «Je veux dire un véritable CISO adjoint où ils sont capables de venir et de posséder plusieurs secteurs verticaux et d’avoir cette surveillance interfonctionnelle, plutôt que de rester dans un silo», explique Myers.
Cette personne a besoin d’accès à l’équipe de direction et, quand elle a du sens, le conseil d’administration. Et il ne s’agit pas seulement de préparer les diapositives – ils devraient en fait être dans la salle, écouter et contribuer à la discussion, ajoute-t-elle.
Les programmes de rotation fonctionnent également bien, car ils permettent aux successeurs potentiels d’acquérir de l’expérience dans différentes parties de l’entreprise. Cette approche garantit qu’ils développent «suffisamment d’expérience dans chaque domaine pour vraiment avoir quelque chose à construire et une longueur d’avance lorsqu’ils essaient d’assumer ce poste de premier plan», selon Myers.
Barrack souligne l’importance de créer un environnement d’apprentissage favorable. « J’essaie de favoriser un environnement d’apprentissage vraiment positif où les gens comprennent que l’escalade n’est pas mauvaise, et le résultat d’une escalade peut être un point d’apprentissage pour l’un de mes gens, mais ce n’est pas punitif », a-t-il déclaré. «Vous devez les laisser grandir, ce qui signifie prendre des risques avec eux. Vous devez les préparer au succès, mais vous devez les laisser grandir.»
Faire des efforts dans la planification de la relève porte ses fruits de plus de façons que de simplement construire un banc de futurs cisos. Myers souligne que lorsque les talents internes sont développés pour être solides techniquement et prêts à s’engager avec les hauts responsables, les entreprises économisent de l’argent et réduisent les risques dans toute l’organisation. L’investissement initial est plus que versé pour lui-même dans la stabilité, la continuité et la baisse des coûts.
Les experts conviennent que les entreprises ne peuvent pas attendre que leurs cisos sortent pour réfléchir à qui est la prochaine. Les cyber-menaces continuent d’évoluer et le rôle du leadership en matière de sécurité ne fait que devenir plus important. Construire et entraîner les futurs CISO n’est plus agréable à avoir – c’est un must. Les organisations qui commencent maintenant seront celles qui ont un leadership constant en place lorsque le prochain grand défi sortira.
