En tant que dirigeants de niveau C, les CISO sont responsables de tout ce qui ne va pas mais qui ne reçoivent pas le même traitement et accès de niveau C qui les aideraient à exécuter leurs fonctions avec autorité.
Les dirigeants de la cybersécurité conviennent qu’ils doivent s’engager avec le conseil d’administration de leurs organisations pour faire leur travail. En réalité, l’engagement du conseil d’administration est en retard, et qui déconnecte entraîne la satisfaction au travail des CISOS.
Près de la moitié des CISO (40%) dans les petites et moyennes organisations de marché ont un accès minimal ou non à des conseils complets, selon la rémunération et le budget de 2025 pour les CISO dans le rapport du petit et du marché intermédiaire de l’IANS et de la recherche ARTICO. Parmi les cisos qui n’ont pas la capacité d’interagir avec leurs conseils, la moitié du rapport n’est pas satisfaite de leur travail. Selon le rapport.
«Dans certaines entreprises, le CISO est un travail ascendant et quelqu’un qui est blâmé mais qui n’a pas la compétence et l’accès dont ils ont vraiment besoin pour faire leur travail», explique Marty Barrack, CISO, chef de file et responsable de la conformité chez XiFin et membre de l’ISACA. « Si vous allez faire votre travail en tant que CISO, vous avez besoin d’accès au conseil d’administration. »
Les CISO doivent considérer ce qu’une déconnexion de leurs conseils signifie pour leur capacité à exécuter et comment établir des relations fructueuses avec le conseil d’administration lorsqu’ils ont cet accès convoité.
Le manque d’accès au conseil conduit à l’insatisfaction au travail
Les CISO qui n’ont pas accès au conseil d’administration sont souvent enterrées au sein de leurs organisations. «Il y a beaucoup d’entreprises qui embaucheront au niveau du réalisateur ou même un niveau supérieur et l’appellent un CISO. Mais ils n’ont pas l’autorité et la place pour pouvoir réellement exécuter ce qu’un CISO fait», explique Nick Kathmann, CISO à Logicgate.
Au lieu de faire rapport directement au conseil d’administration ou au PDG, ces CISO rendront compte à un CIO, un CTO ou un autre cadre, malgré les problèmes qui peuvent survenir dans ce type de structure de rapport. Les DSI et les CTO sont souvent chargés de mettre en œuvre de nouvelles technologies. Le travail du CISO consiste à identifier les risques et à s’assurer que l’organisation est sécurisée.
«Si le DSI n’aime pas ces risques ou ne veut rien faire pour réparer ces risques, ils les supprimeront essentiellement (CISO) autant qu’ils le peuvent», explique Kathmann.
Les CISO finissent souvent par assumer le poids du blâme lorsqu’un incident de sécurité se produit, bien qu’il n’ait jamais eu l’occasion de communiquer le risque au conseil d’administration et de garantir une adhésion adéquate pour gérer ce risque. Ce scénario conduit rapidement à la frustration et à l’insatisfaction au travail.
Barrack est un membre actif de la communauté CISO. Il entend souvent ces frustrations de ses pairs avec lesquels il se connecte par le biais du chapitre de San Diego d’Isaca. «Le CISO typique avec lequel j’interagit n’est pas très satisfait et n’est pas correctement autorisé à réussir dans leur travail», dit-il.
Les frustrations des Cisos se reflètent dans leurs mandats souvent courts. Un rapport de 2023 de Cybersecurity Ventures a révélé que les CISO durent en moyenne de 18 à 26 mois. «J’ai vu plus de cisos quitter leur position au cours des deux dernières années et ne pas revenir. Ils avancent et font d’autres choses», explique George Gerchow, directeur de la sécurité chez Bedrock Security and Faculty conseiller chez IANS.
Gerchow a connu de première main les frustrations d’une structure de rapports moins qu’idéale. Initialement, il faisait rapport aux bons endroits, mais les changements organisationnels ont bouleversé ces canaux de communication. Il communiquait rarement en tête-à-tête avec son patron, et le conseil d’administration lui faisait beaucoup moins attention. « Je me sentais comme si j’avais un mur entre nous, puis, mon équipe a commencé à souffrir. Et j’ai commencé à les voir quitter l’entreprise. Je ne pouvais pas les dire pour rester beaucoup. J’ai probablement attendu trop longtemps, mais j’ai tiré la prise », partage Gerchow.
En entrant dans son rôle actuel avec la sécurité du fondement, Gerchow a fait un conseil d’administration non négociable. «Dans mon contrat, il dit que je dois faire rapport au PDG ou au conseil d’administration», dit-il.
Établir une relation avec le conseil d’administration
Le réseau exécutif de la CISO est une organisation peer-to-peer pour les professionnels de la sécurité de l’information avec plus de 1 500 membres. Andy Land, directeur général de l’organisation, voit la plupart de ces membres travailler avec un accès solide à leurs conseils. «Mais la question est de savoir si nous faisons fondamentalement quelque chose de bien avec cet accès?» demande-t-il.
Se diriger devant le tableau est une chose. Communiquer efficacement les besoins en cybersécurité et les satisfaire en est un autre. Cela commence par la formation de relations avec les pairs c-suite. Que les CISO se rendent toujours à un autre cadre ou non, ils doivent comprendre les priorités de leurs pairs et comment la cybersécurité peut s’inscrire avec celles-ci.
«Le travail du CISO est un travail de direction. En tant que cadre, vous comptez entièrement sur vos relations entre vos pairs. Vous ne pouvez rien faire en tant que cadre dans le vide», explique Barrack.
Travailler en collaboration, plutôt que dans les affirmations, d’autres dirigeants peuvent préparer les CISO à tirer le meilleur parti de leur temps devant le conseil d’administration.
Une fois qu’ils ont eu l’attention du conseil d’administration, ils doivent le garder. Et cela signifie s’appuyer sur le leadership d’entreprise plutôt que sur le savoir-faire technique qui aurait pu les aider à décrocher le poste de CISO en premier lieu. Différents membres du conseil d’administration ont différents domaines d’expertise, mais leur objectif sera en grande partie, et à un niveau élevé, sur le succès financier de l’entreprise. La conversation sur CVES et le dernier gang de ransomware est susceptible de faire peu pour motiver les membres du conseil d’administration.
«Vous perdrez la crédibilité, et il sera très difficile pour vous de le récupérer, car la plupart des conseils et la plupart des cadres sont très jugés», explique Barrack. «Ils prennent des décisions très rapides concernant votre niveau de capacité.»
Les cisos qui passent du temps à apprendre comment les différents aspects d’un travail commercial et ce que les membres du conseil se soucient de trouver un public plus réceptif. «Si vous entrez dans un conseil composé de tous les vendeurs et que vous commencez à parler de la perte de pipeline et de la perte de revenus et de la baisse des clients en ce qui concerne le cyber-risque, vous allez attirer leur attention», explique Kathmann.
Le rôle du CISO est encore relativement nouveau. La cybersécurité attire plus d’attention, mais la question des rapports du conseil de conseil reste une frustration commune. Pour les CISO qui ne pensent pas que leurs pairs et leurs conseils les permettraient de faire leur travail, il est peut-être temps de réévaluer leur approche de la communication et des perspectives à long terme avec l’organisation.
«Si vous n’obtenez pas ce soutien du conseil d’administration, il est peut-être temps de commencer à chercher une nouvelle opportunité», explique Bill Sieglein, fondateur de Ciso Executive Network. « L’une des deux choses s’est produite: vous communiquez mal, ou ils ne vous soutiennent pas. »
