Stressed, tired and frustrated business man with headache at night from burnout or making mistake on laptop. Overworked creative entrepreneur failing to meet late office deadline or working overtime

Le rôle du CISO est-il rompu?

Lucas Morel

Il est temps de diviser le travail avant de rompre l’entreprise.

Une histoire récente de Tyler Farrar (le code de conduite du CISO: abandonner l’ego, le plomb pour de vrai) m’a vraiment fait réfléchir.

Bien que je sois d’accord avec la plupart du contenu et le code de conduite qu’il suggère, je pense qu’il y a quelques points autour des rôles et des profils des CISO qui doivent être explorés et analysés davantage.

Le code de conduite dans l’article insiste à juste titre sur les compétences de leadership et d’exécution, mais finit par structurer un profil qui ne peut pas être construit du jour au lendemain et ne peut être le résultat de rôles de gestion et de livraison de première ligne à long terme, et c’est au cœur de la question à mon avis.

La plupart des cisos que je rencontre sont des technologues par le commerce et les antécédents. Rien de mal à cela: c’est simplement la conséquence des origines du rôle dans la sécurité informatique et son évolution au cours des trois dernières décennies.

L’évolution du rôle de la CISO – et ses limites

Au cours de ses trois décennies d’existence, l’industrie de la cybersécurité n’a jamais construit de pipelines de gestion des talents latéraux. Les analystes de sécurité deviennent des ingénieurs de sécurité; Les ingénieurs de sécurité deviennent des CISO; Très peu de talent au niveau senior vient de l’extérieur, d’après mon expérience.

De nombreux cisos sont passés d’un emploi à l’autre au cours de la meilleure partie de cette période. Lorsque j’ai commencé à aller à des conférences de sécurité de l’information il y a 25 ans, la plupart des gens de la salle provenaient du secteur financier, des grandes entreprises pharmaceutiques et pétrolières et gazières. Au cours de la période, toutes les entreprises se sont réveillées à la réalité des cybermenaces et bon nombre de mes collègues de cette période ont déménagé dans d’autres secteurs industriels.

De courts tenures engendrent un échec à long terme

Mais les mandats sont restés bas. Plusieurs articles chaque année placent le mandat moyen de la CISO dans la région à deux à trois ans, ce qui correspond à ma propre expérience sur le terrain.

Vous n’obtenez pas grand-chose en termes d’impact transformateur dans une grande entreprise en deux à trois ans.

En fait, de nombreux CISO ont passé la dernière décennie à des incidents sans fin, incapables de construire toute sorte de vision à plus long terme dans n’importe quel travail, sans parler de la livrer. Comme un éminent CISO m’a dit un jour: «Mes 100 premiers jours se sont terminés le jour 3»…

Ce n’est pas un contexte où vous pouvez développer de manière réaliste la finesse de gestion, la gravité personnelle, le sens politique que vous devez maintenant réussir dans le rôle, compte tenu de la visibilité qu’elle a acquise au niveau de l’entreprise.

C’est pourquoi de nombreux cisos sont en difficulté. Il y a sans aucun doute des problèmes «de l’ego» avec certains (il est difficile de ne pas se sentir important lorsque vous êtes payé), mais au-delà, le rôle est tout simplement devenu impossible pour beaucoup et c’est de là que vient le «mauvais comportement», à mon avis.

Personne ne peut être crédible un jour devant le tableau, le suivant devant les régulateurs, le suivant devant les testeurs de stylo, le suivant devant les développeurs, le suivant devant les fournisseurs, etc.…

Il est temps d’arrêter de faire semblant: ces profils n’existent pas. De nombreux cisos n’agissent que la plupart du temps. Ils partent après quelques années par frustration, ayant atteint très peu de pratique.

La situation est aggravée par une défaillance chronique de l’exécution à long terme dans de nombreuses grandes entreprises autour de la cybersécurité.

Dynamique toxique entre les leaders de la sécurité et les cadres

Ce n’est pas nécessairement la faute du CISO en soi. Les grandes entreprises sont par essence cloisonnée, politique et territoriale d’après mon expérience. La nature intrinsèquement complexe et inter-silo des problèmes de cybersécurité est en conflit avec ces dynamiques, et si les structures de gouvernance d’entreprise ne sont pas en place pour traverser, très peu est livrée au fil du temps en termes d’efforts de cybersécurité transformateurs, au-delà des fruits à faible maintien ou des allégations rapides présumées.

Néanmoins, cela crée un climat dans de nombreuses entreprises entre les cadres supérieurs et leur équipe de sécurité qui a le potentiel de devenir assez toxique.

Le type de communication ascendante envers les cadres supérieurs des cadres supérieurs et leurs consultants ont tenté de construire au fil des ans ont simplement échoué.

Les récits développés autour de la «cybersécurité en tant que catalyseur» ou «Return on Security Investments» essayaient simplement de s’attaquer, par des moyens rationnels, à une situation qui n’est pas rationnelle en essence mais motivée par des biais cognitifs et des pratiques de gouvernance d’entreprise profondément enracinées ou des dysfonctionnements.

En le voyant de l’autre côté de la table, de nombreux hauts dirigeants auraient vu le CISO après le CISO qui a demandé des millions de personnes avant de partir quelques années plus tard, laissant les choses à moitié.

Et cela engendre la méfiance.

La méfiance engendre la réticence des chefs d’entreprise à investir davantage jusqu’à ce que quelque chose se passe; L’absence de ressources (réelles ou perçues) nourrit la frustration de la CISO et leur court mandat, qui est l’une des principales pierres angulaires de cette «spirale d’échec» autour de la cybersécurité.

Pourquoi diviser le rôle est la seule voie à suivre

Deux choses doivent être faites, à mon avis, dans les entreprises essayant de sortir de ces dynamiques.

Premièrement, le rôle du CISO doit être divisé. Il est inutile de continuer à prétendre que le rôle fonctionne bien. Il est tout simplement devenu trop complexe pour répondre aux personnes qu’elle attire.

Le défi ici est de rendre le portefeuille suffisamment large pour attirer le bon calibre de chef d’entreprise et de présenter une véritable opportunité de carrière. Ces sujets sont complexes et suffisamment profonds pour justifier l’approche et le rôle.

Du point de vue de la gouvernance d’entreprise, il s’agit d’un déménagement que tout conseil devrait soutenir, mais il devrait également aider toute équipe de direction à avoir une seule personne à travers la table agissant en tant que partie prenante sur toutes ces questions.

Les responsabilités et les responsabilités personnelles peuvent entrer en jeu dans certaines industries ou géographies, mais le défi mérite d’être considéré, car il cimenterait sans équivoque l’importance des valeurs de protection des entreprises au cœur de la structure de gestion de l’entreprise.

Le rôle du CISO lui-même peut ensuite être renvoyé à son remise technique natif, dépouillé des couches de gestion et de gouvernance, il s’est accumulé de manière organique au fil des ans, et pour laquelle la génération actuelle de CISO est mal préparée.

Le rôle devrait également être fortement recentré sur l’exécution. Là, je suis fortement d’accord avec le dernier point du code de conduite d’où nous sommes partis.

Reconstruire la confiance par la livraison, pas les exigences

Le moment est venu pour les CISO pour cesser de se plaindre et faire avancer les ressources dont ils disposent.

Présenter la capacité d’exécution, sans en demander constamment plus, renforcera ou reconstruia la confiance avec les cadres supérieurs.

C’est le type de nouvelle dynamique qui aidera les entreprises à aller de l’avant, où une transformation authentique et durable est requise autour de la cybersécurité.

Cela aidera également les Cisos frustrés à obtenir plus de leur travail et, espérons-le, à entraîner des mandats plus longs.

Cela peut également aider à recruter dans ces rôles en rendant les descriptions de rôles plus réalistes, par opposition à de nombreuses personnes qui recherchent franchement des profils qui n’existent pas.

Une nouvelle voie vers le leadership durable de la cybersécurité

Les entreprises ne peuvent pas simplement continuer avec la cybersécurité comme ils le faisaient il y a dix ou vingt ans. Les menaces se transforment tout le temps et continueront de le faire, mais les organisations doivent réfléchir à leur voyage à travers le paysage de la cybersécurité au cours des dernières décennies et comprendre où les barrages ont été qui ont empêché les progrès. Beaucoup devraient être à bien meilleurs niveaux de maturité de la cybersécurité étant donné les montants investis au fil des ans.

Faire mieux le rôle du CISO en fait partie. C’est une étape clé, mais nous ne devons laisser aucune pierre non retournée, même si cela signifie reconnaître que, dans sa forme actuelle, le rôle a suivi son cours et doit évoluer considérablement.

Cet article est publié dans le cadre du réseau de contributeurs d’experts Foundry.
Vous voulez rejoindre?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services