De nombreux cisos dans les grandes entreprises sont mécontents de leur rémunération et des ressources qui leur sont données pour sécuriser l’entreprise; Malgré cela, ils visent à monter plus haut.
Au moins un chanceux américain CISO a gagné environ 5 millions de dollars l’année dernière, selon une nouvelle enquête, mais la réalité est que la rémunération moyenne des CISO dans les plus grandes entreprises américaines était plus proche de 500 000 $ – et malgré le bon argent, beaucoup étaient insatisfaits.
Les chiffres proviennent de l’enquête annuelle annuelle sur la rémunération et le budget de la CISO, menée conjointement par IANS et ARTICO Search, qui offre également quelques conseils aux CISO pour aider à guider leur cheminement de carrière pour travailler pour des organisations plus grandes.
Un peu plus de 860 cisos ont été interrogés entre avril et décembre 2024, et les auteurs ont concentré leur étude sur les 406 répondants travaillant aux États-Unis pour les entreprises ayant des revenus de plus de 1 milliard de dollars par an, excluant les organisations gouvernementales et non gouvernementales qui ne peuvent pas offrir de capitaux propres dans le cadre de leur rémunération. Les répondants étaient les hauts dirigeants de leurs organisations de cybersécurité respectives; Pour plus de simplicité, l’étude les appelle collectivement les principaux responsables de la sécurité de l’information. Un peu plus de 90% ont travaillé aux États-Unis.
Un regard sur la compensation
Alors que quelques répondants ont déclaré gagner 5 millions de dollars par an (y compris les primes et les capitaux propres), le CISO médian a reçu 532 000 $ de compensation totale.
Les CISO les mieux payés sont responsables des budgets de sécurité à sept à huit chiffres et supervisent les équipes de plus de 200, souligne le rapport. Leur rémunération comprend généralement des subventions annuelles sur les actions d’une moyenne d’environ 300 000 $, indique le rapport, avec ceux qui ont reçu les 1% de récompenses en actions de plusieurs millions de dollars chaque année.
«Ces différences de rémunération reflètent les plus grandes responsabilités stratégiques, la portée et l’échelle plus larges et la rareté des talents parmi les 10% les plus compétents des CISO pour gérer des programmes de sécurité complexes et offrir un impact à l’échelle de l’entreprise», indique le rapport.
Nick Kakolowski, directeur principal de la recherche chez IANS, ne dirait pas combien de groupes ont gagné plus de 5 millions de dollars en compensation. Il a souligné qu’ils figurent dans les 1% des premiers du marché. « En raison de la taille relativement petite de l’échantillon, nous n’allons pas non plus révéler la répartition spécifique de leurs packages de compensation pour éviter les situations où ces données pourraient être retracées aux individus », a-t-il expliqué. « Cela dit, anecdotique, sur le marché, nous voyons généralement les forfaits annuels de rémunération en espèces dépasser environ 1 million de dollars, le reste du package de rémunération composé de capitaux propres. »
Certains ne sont pas satisfaits des budgets aussi
Tous les cisos travaillant dans de grandes entreprises ne sont pas satisfaits de leurs salaires à six chiffres. Selon l’enquête, seulement 55% des répondants travaillant pour plus de 20 milliards de dollars étaient satisfaits de ce qu’ils étaient payés – et ce groupe était le moins satisfait de tous les interrogés de ce qu’ils faisaient. Le groupe le plus satisfait était ceux qui travaillaient pour des organisations qui avaient entre 5 milliards de dollars et 20 milliards de dollars de revenus: 63% ont déclaré qu’ils étaient satisfaits.
«Les CISO de 20 milliards de dollars et 1 milliard de dollars à 2 milliards de dollars ont déclaré une satisfaction inférieure à la moyenne à l’égard de leur rémunération, mais pour des raisons différentes», indique le rapport.
Les CISO dans le segment de 20 milliards de dollars + comparent probablement leur salaire à celle des autres dirigeants exécutifs au sein de leurs organisations et considèrent leur compensation insuffisante compte tenu des demandes et de la portée croissante de leurs rôles, soutient-il.
Les CISO dans le groupe de 1 milliard de dollars à 2 milliards de dollars, quant à eux, peuvent penser que leur compensation est en retard de celle de leurs pairs dans le segment plus large de grandes entreprises, ajoute-t-il. Ce groupe est également le plus insatisfait de son niveau de visibilité et d’engagement avec le conseil d’administration, correspondant à la part démesurée (24%) des CISO dans ce segment, déclarant peu ou pas d’engagement du conseil d’administration.
Seuls 58% des CISO dans les plus grandes organisations étaient satisfaits du budget qu’ils peuvent dépenser. Les moins satisfaits (51%) étaient ceux qui travaillaient pour des organisations ayant des revenus entre 1 et 2 milliards de dollars.
«La satisfaction à l’égard du budget a reçu les notes les plus basses dans l’ensemble, en particulier parmi les CISO dans le 1 milliard de dollars – 2 milliards de dollars et 5 milliards de dollars – 20 milliards de dollars de segments – un reflet de la frustration d’être censé faire trop avec des ressources non suffisantes», indique le rapport.
Un point de transition difficile
Peu de répondants ont déclaré qu’ils avaient un titre exécutif; Un tiers seul avait un titre tel que le vice-président exécutif ou senior, 39% avaient un rang VP, tandis que 29% détenaient le titre de directeur. Ceux de ces deux catégories ont probablement moins de visibilité, d’autorité et d’impact sur la prise de décision stratégique, selon le rapport.
La plupart des répondants ont déclaré avoir signalé le CIO ou le directeur de la technologie (CTO), tandis qu’un petit nombre relève d’un directeur de la réglementation. Seulement 10% des 20 milliards de dollars + CISO ont indiqué qu’ils faisaient rapport directement au PDG.
« Ce qui a certainement sauté (des résultats de l’enquête), c’est à quel point le travail finit par être difficile pour les CISO qui travaillent dans cette fourchette de 1 milliard de dollars à 5 milliards de dollars », a déclaré Kakolowski d’IANS dans une interview. «Ce que nous voyons lorsque nous avons mis en place les données de satisfaction au travail, les données sur leurs compétences professionnelles, leurs certifications et leur rémunération, c’est qu’ils sont à un point de transition très difficile au sein de l’entreprise. Ils sont souvent traités – comme dans les petites organisations – comme des professionnels techniques plus fonctionnels.»
Mais à mesure que l’organisation se développe, l’équipe de direction devient plus complexe, les exigences des entreprises deviennent plus complexes. Ainsi, conclut-il, les CISO dans les petites entreprises de la taille d’une entreprise doivent commencer à jouer un rôle plus stratégique s’ils veulent devenir des dirigeants d’entreprise plus fonctionnels.
Cependant, il prévient que certaines organisations s’attendront à ce que les CISO fassent cette transition à différentes étapes de leur carrière, et certaines entreprises peuvent ne pas être prêtes à ce qu’un CISO ne bouge. C’est là que l’établissement de relations avec la haute direction vous aidera.
Recommandations pour la croissance de la carrière
« Notre recommandation aux CISO qui cherchent à obtenir ces grands rôles d’entreprise est de commencer à développer ces compétences grâce à un projet ou à une initiative interfonctionnelle liée à la sécurité, même si ce n’est pas quelque chose que la sécurité s’exécute directement, pour démontrer ces compétences et ces valeurs pour l’entreprise », a déclaré Kakolowski. De cette façon, lorsque l’organisation se développe et est prête pour qu’un CISO assume les responsabilités exécutives, leurs compétences sont connues.
Le rapport propose trois recommandations:
- Les CISO devraient évaluer soigneusement la possibilité d’ajouter de nouvelles responsabilités à leur travail, telles que le risque numérique et la conformité ou la gestion des risques tiers.
«La prise de portée supplémentaire peut mieux vous positionner en tant que chef d’entreprise critique», dit le rapport, «mais cela peut également être une distraction de vos principales responsabilités de cybersécurité. Soyez conscient de maintenir des limites claires et de vous assurer que vous avez les ressources et le soutien nécessaires pour gérer efficacement ces responsabilités élargies. - Pour répondre à la possibilité de passer d’un directeur technique à un cadre, les CISO devraient planifier leur propre développement de compétences en douceur, en particulier dans les domaines de la communication, de l’influence et de l’auto-avocat.
- Pour gérer efficacement leur cheminement de carrière et leur mobilité, les CISO devraient évaluer les rôles potentiels non seulement par le titre ou la rémunération immédiate, mais par leur alignement sur les objectifs de carrière à long terme et le potentiel d’impact transformationnel, selon le rapport.
«Soyez prêt à faire des mouvements calculés, en prenant potentiellement des mesures intermédiaires, comme le passage au rôle de sécurité secondaire d’une organisation plus grande ou la transition dans différents secteurs sur une période plus longue pour créer une expérience complète», conseille-t-il.
