Les structures de rapports problématiques, la responsabilité démesurée des risques d’entreprise et la responsabilité personnelle sans autorité ne sont que quelques raisons pour lesquelles les rôles du CISO connaissent un désabonnement élevé.
Ensuite, Gerchow est devenu le CISO intérimaire.
«Cela m’a réinspiré d’avoir le travail», se souvient Gerchow. «Tous mes jus ont recommencé à couler.» Mais il a fallu à Gerchow quelques mois pour réaliser qu’être un CISO était ce qu’il voulait encore faire; Un point de vue qu’il dit que peu de ses pairs ont partagé.
«Je n’ai jamais vu plus de mes collègues quitter le rôle… au cours des deux dernières années», dit-il.
Être CISO aujourd’hui n’est pas pour les faibles de cœur. Pour paraphraser Rodney Dangerfield, les CISO (certains, de toute façon) ne restent pas.
On pourrait penser que dans un travail où un stress perpétuel sur la menace d’une cyberattaque est la norme, il y aurait de l’empathie pour les chefs de sécurité. Au lieu de cela, ils sont confrontés au défi croissant d’essayer d’obtenir un soutien entre les départements et de gérer les menaces de sécurité, selon un récent rapport de WatchGuard.
Pour ajouter l’insulte à la blessure, « À mesure que les exigences réglementaires et politiques augmentent, y compris les exigences pour que le CISO certifie personnellement l’intégrité de la cybersécurité de son entreprise, ils seront confrontés à une plus grande responsabilité personnelle et au risque juridique en 2025 et au-delà », note le rapport.
Les tensions du travail ne s’arrêtent pas là. Comme Gerchow a vécu, les CISO sont confrontées à une épuisement accrue. Ils ont également la pression accrue d’essayer de réduire le chiffre d’affaires et de trouver des candidats qualifiés prêts à lutter contre le rôle. Cela soulève la question, le rôle de la CISO est-il devenu le travail le moins souhaitable en affaires?
Pour Gerchow, la réponse est sans équivoque, oui.
Structurellement sous-alimenté
Beaucoup de problèmes rencontrés par les CISO ont à voir avec la structure de rapports, et le fait que le rôle est «les couches enfouies ci-dessous» d’autres dans la suite C, note Gerchow.
«Je ne me présenterai plus jamais à un CTO ou à un CFO. Je dois avoir un siège à la table», dit-il avec force. Sinon, dit-il, vous devenez frustré « parce que vous ne contrôlez pas votre propre destin. Vous analysez tout à cette autre personne qui est un leader dans l’entreprise – et vous avez potentiellement le travail le plus risqué de toute l’organisation. »
Maggie Myers, une consultante en chef chez Korn Ferry, a récemment discuté avec un CISO qui lui a dit que la pression n’avait jamais été plus élevée et que le contrôle ne s’est jamais senti plus bas. «Je pense que dans de nombreux cas (le rôle du CISO est devenu) insoutenable», explique Myers.
Faisant écho à Gerchow, elle ajoute: «La raison a beaucoup à voir avec la façon dont elle est structurée. Je pense que c’est le vrai problème ici. Le script change un peu», mais les CISO devraient toujours gérer les risques.
Ce n’est pas des cisos secrètes sont soumis à une pression énorme. «Ils ont obtenu l’examen réglementaire, ils ont une visibilité publique», ainsi que la complexité croissante des menaces, et «l’IA ne fait qu’ajouter à cet incendie, et l’inadéquation entre la responsabilité et l’autorité», explique Myers, qui a écrit «le dilemme de la CISO», qui explore les taux de roulement de CISO et comment les entreprises peuvent changer de l’avant.
Souvent, les CISO n’ont pas le mandat d’influencer les systèmes commerciaux ou les processus qui créent ce risque, dit-elle. « Je pense que c’est une vraie déconnexion et c’est ce qui stimule vraiment l’épuisement professionnel et le chiffre d’affaires. »
Pour Amit Basu, vice-président, CIO et CISO des Seaways International, le problème est que «les CISO manquent souvent d’indemnisation formelle, d’autorité de gouvernance claire ou de protection sur mesure (administrateurs et officiers)», dit-il. «Dans de nombreux cas, le CISO est chargé de gérer le risque d’entreprise tout en restant structurellement sous-alimenté pour l’influencer pleinement.»
C’est ce déséquilibre qui entraîne l’épuisement professionnel, le chiffre d’affaires et la réticence croissante parmi les hauts dirigeants de la cybersécurité à entrer ou à rester dans ces rôles, pense Basu.
Un manque de soutien
Nachreiner cite une enquête de Nominet qui trouve que 91% des CISO souffrent de stress modéré à élevé. «Le travail implique un cycle perpétuel de stress, sachant qu’un incident de cybersécurité pourrait frapper à tout moment», dit-il. «Les acteurs de la menace deviennent plus rusés, et même les États nationaux visent les entreprises civiles. Pourtant, le vrai défi réside dans la façon dont les entreprises considéraient souvent la cybersécurité comme un mal nécessaire plutôt que comme une priorité absolue. C’est comme si la devise du CISO était,« tout risque, peu de récompense ».» »
Gerchow dit qu’un autre facteur rendant le travail indésirable est que le CISO est invité à faire plus que jamais. Par exemple, en plus d’autres réglementations, les CISO doivent désormais s’assurer que leurs organisations se conforment à la loi sur la résilience opérationnelle numérique (DORA), une réglementation de l’UE axée sur le renforcement de la résilience numérique des entités financières.
Le contrôle supplémentaire de Dora, dit Gerchow, est «les entreprises écrasantes».
Problème de position humain vs position
Certains CISO se rendent des rôles opérationnels à des rôles plus consultatifs. Patricia Titus, qui a récemment pris position en tant que CISO sur le terrain à la startup anormale IA après 25 ans en tant que CISO, ne pense pas que le rôle de CISO est devenu moins souhaitable. «L’examen réglementaire a toujours été là», dit-elle. «Il a obtenu une lumière qui a brillé.… Les régulateurs peuvent devenir plus intelligents et poser des questions plus directes.»
Titus attribue l’augmentation de l’épuisement professionnel au fait que «nous ne faisons pas un bon travail d’équilibrage. C’est pour moi un problème humain par rapport à un problème de position.»
Il s’agit également d’un problème dans d’autres positions de niveau C, note-t-elle. « La question dans mon esprit est: les CISO sont-elles au point où la position doit être élevée au bon niveau », avec le « bon soutien de votre leadership? »
Titus a vu l’épuisement professionnel lorsqu’il n’y a pas de bonne planification de la succession et que «les gens amènent le pouvoir par rapport à la responsabilité». Elle se souvient d’un travail de sécurité dans lequel elle était qui a provoqué un «eczéma induit par le stress, et ma santé était un gâchis chaud, et j’ai dû prendre des décisions conscientes sur ce qu’il fallait faire à ce sujet.»
Dans ses relations avec un autre leader à l’époque, Titus dit qu’elle «a tout essayé dans mon sac de trucs pour rendre la relation meilleure, plus forte et plus saine». Mais c’est arrivé au point où «j’ai ressenti cette personne et je ne vais pas voir les yeux et c’est là que vous acceptez d’être en désaccord.» En fin de compte, elle a quitté l’entreprise et a trouvé «un meilleur travail».
Si vous exécutez un programme de sécurité solide, dit Titus, le CISO devrait être en mesure de dire où se trouvent les forces et les faiblesses.
«Je crois que ce travail est un travail passionnant et nécessite une personne qui est multidiscipline. Vous devez utiliser des compétences de pensée critique, vous devez comprendre l’entreprise», dit-elle. «Ce n’est pas le travail de la CISO il y a 20 ans. C’est un champ et un poste évolutif.»
Son rôle est d’apporter son expertise pour aider les clients ayant des problèmes à titre consultatif.
Bien que Titus n’ait plus de responsabilité opérationnelle, elle dit qu’elle se sent toujours «très mariée pour nous assurer que nous protégeons les données des clients» et aidons le CISO nouvellement embauché.
La société a également un deuxième CISO sur le terrain et un total de quatre personnes professionnelles de la sécurité. «Pour moi, c’est le meilleur de tous les mondes.»
Elle pense que le rôle du CISO n’est pas souhaitable dans les entreprises qui ont connu de nombreuses suppressions d’emplois couplées au ralentissement économique et aux luttes financières. Lorsque le CISO doit également laisser partir les gens, cela peut créer une situation extrêmement stressante, dit-elle.
«C’est là que je pouvais voir les Cisos dire:« Je dois sortir d’ici », explique Titus. «Ai-je été dans des postes où je pense que j’ai été mis en place pour l’échec? Si je disais non, ce serait un mensonge.»
Alors que les entreprises se concentrent sur leurs opérations commerciales principales, un SAVE SAVE visera à soutenir cela avec un risque minimal, a déclaré Nachreiner de WatchGuard. «Mais le Catch-22 est que la lutte contre cela nécessite de l’argent et du capital humain, qui sont souvent en manque», dit-il. «Alors que les budgets se resserrent, la sécurité devient la ceinture proverbiale à resserrer davantage.»
Comme Titus, Nachreiner dit que la cybersécurité est fondamentalement un défi humain, et tous les employés doivent faire leur part. « Pourtant, les motiver peut avoir l’impression de rassembler les chats, en particulier lorsque leurs assiettes sont déjà pleines. Le manque de collaboration peut saper le moral plus rapidement qu’une violation de données. »
Une association pour les CISO
Le fait qu’il y ait une discussion sur le rôle de la CISO devenant le moins souhaitable dans les affaires aujourd’hui reflète une tension croissante que ressentent que les CISO se sentent, observe Basu des voies maritimes internationales. «Bien que le rôle n’ait jamais été aussi critique pour une entreprise, elle n’a également jamais comporté de risques, de pression ou d’ambiguïté plus personnels», dit-il.
Avec l’évolution du CISO d’un gardien technique de back-office en un leader stratégique des risques est venu une visibilité accrue, mais aussi «un examen disproportionné et un manque de protection», soutient Basu. «Les CISO sont désormais confrontées à la perspective d’une responsabilité personnelle, d’une exposition criminelle et de dommages de réputation pour les décisions prises dans des environnements complexes, souvent sous-ressourcés, dont beaucoup ne sont pas hors de leur contrôle direct.»
Les récentes actions d’application et les précédents juridiques ont clairement indiqué que les régulateurs ne sont plus satisfaits de la responsabilité des entreprises et tiennent les individus responsables, ajoute-t-il.
«Mais la réponse n’est pas de saper la position; elle nécessite de formaliser les protections juridiques, de définir l’autorité et de rapporter des lignes, et de reconnaître le leadership de la cybersécurité en tant que profession – avec l’accréditation, les codes éthiques, les procédures opérationnelles standard et le soutien par les pairs», explique Basu.
«Un CISO avec des normes, une accréditation, un soutien légal et une communauté professionnelle est un atout d’entreprise, mais un CISO sans protection est une vulnérabilité.»
En outre, le rôle de la CISO «reste défini de manière incompatible dans toutes les industries, et dans beaucoup trop d’organisations, les CISO sont tenues responsables sans se voir accorder l’autorité, les ressources ou les protections juridiques requises», dit-il.
Pour ces raisons, Basu aide à établir une association professionnelle pour les CISOS modélisées sur des entités comme la Bar Association ou la Society of CPA. Il s’appelle l’Association professionnelle des CISO (PAC), et l’objectif est de formaliser la profession par l’accréditation standardisée, de défendre les protections juridiques et de favoriser un réseau de pairs solide et favorable.
«Il est temps que ce rôle de leadership critique ait accordé la structure et la reconnaissance qu’elle mérite à juste titre», explique Basu.
Le rôle du CISO ne devient pas indésirable car il manque de pertinence, dit-il. «Au contraire, il est vital pour l’avenir de la confiance et de la résilience d’entreprise. Il n’est indésirable que lorsque nous ne correspondons pas à la responsabilité avec la protection. Si nous voulons attirer et conserver les meilleurs talents dans ces rôles, nous devons construire les garde-corps qui permettent aux CISO de fonctionner avec autorité, intégrité et confiance.»
La doublure argentée
Ces problèmes ne sont pas insurmontables, explique Nachreiner de Watchguard. «Réaliser que le rôle de la CISO est plus centré sur l’homme et politique que technique est essentiel. Il ne s’agit pas seulement de la magie avec les défenses du réseau; il convainc le conseil d’administration de projets en lumière verte qui n’augmente pas immédiatement les bénéfices, la réduction des chefs de département pour adopter des mesures de sécurité et le coup de pouce pour modifier leurs habitudes quotidiennes», dit-il.
Si vous prospérez dans un environnement où votre curiosité n’est jamais satisfaite, vous pensez toujours à une longueur d’avance, et chaque jour est différent, le rôle de Ciso reste idéal, dit le titus anormal de l’IA. «Chaque jour, vous apprenez de nouvelles choses sur le domaine et chaque jour, une innovation constante se produit, ce qui rend mon travail meilleur et plus rapidement», dit-elle.
«En fin de compte, alors que le rôle du CISO est exigeant, avec la bonne mentalité et l’approche, il reste une position critique et enrichissante remplie de potentiel pour entraîner un changement significatif», accepte Nachreiner.
