CISO - Chief Information Security Officer acronym, is the head of cybersecurity in a company, making sure that systems, networks, and data are secure from threats, business concept background

Qu’est-ce qu’un CISO? Le rôle de leader de la sécurité informatique expliquée

Lucas Morel

Le directeur de la sécurité de l’information (CISO) est le cadre responsable de l’information et de la sécurité des données d’une organisation. Voici ce qu’il faut pour réussir dans ce rôle.

Le directeur de la sécurité de l’information (CISO) est le cadre de haut niveau responsable de l’information et de la sécurité des données d’une organisation.

Voici un aperçu des responsabilités et des exigences du rôle de la CISO, ainsi que de ce que les dirigeants de la sécurité ambitieux ayant une position de CISO peuvent faire pour améliorer leurs chances de saisir ce travail. Les organisations qui cherchent à ajouter un CISO à leur liste, peut-être pour la première fois, peuvent également trouver des conseils sur ce qu’il faut rechercher chez un candidat.

CISO contre CSO: Qu’y a-t-il dans un nom et qui est au top?

  • CISO faisant rapport au CIO? «L’entreprise considère le cyber comme un centre de coûts informatiques, pas comme un risque stratégique.»
  • CISO faisant rapport à CSO? «Cela signifie souvent que l’entreprise est en mode old-school, en voyant le cyber et la sécurité physique comme le même.»
  • Le CISO relève du PDG / du conseil d’administration? «C’est là que l’avenir se déroule, motivé par les pressions réglementaires, les poursuites pour les actionnaires post-abri et les enjeux de confiance des clients.»
  • Reportage double ou matriciel? «Cela signifie généralement que personne ne veut posséder carrément le risque.»

Responsabilités du CISO

Que fait un CISO? Peut-être que la meilleure façon de comprendre le travail de la CISO est d’apprendre quelles responsabilités quotidiennes relèvent de son parapluie. Bien qu’il n’y ait pas deux emplois exactement les mêmes, Stephen Katz, qui a lancé le rôle de CISO chez Citigroup dans les années 1990, a décrit les domaines de la responsabilité des CISO dans une interview avec MSNBC. Il décompose ces responsabilités dans les catégories suivantes:

  • Opérations de sécurité: Analyse en temps réel des menaces et du triage immédiats quand quelque chose ne va pas
  • Cyber-risque et cyber-intelligence: Se tenir au courant de développer des menaces de sécurité et d’aider le conseil à comprendre des problèmes de sécurité potentiels qui pourraient résulter des acquisitions ou d’autres grandes entreprises
  • Perte de données et prévention de la fraude: S’assurer que le personnel interne n’utilise ni ne vole des données
  • Architecture de sécurité: Planifier, acheter et déployer du matériel et des logiciels de sécurité et s’assurer que l’infrastructure et l’infrastructure réseau sont conçues avec les meilleures pratiques de sécurité à l’esprit
  • Gestion de l’identité et de l’accès: S’assurer que seules les personnes autorisées ont accès à des données et des systèmes restreints
  • Gestion du programme: Garder en avance les besoins de sécurité en mettant en œuvre des programmes ou des projets qui atténuent les risques – des correctifs système réguliers, par exemple
  • Investigations et criminalistique: Déterminer ce qui a mal tourné dans une violation, traiter avec les responsables s’ils sont internes, et prévoyez d’éviter les répétitions de la même crise
  • Gouvernance: S’assurer que toutes les initiatives ci-dessus se déroulent bien et obtiennent le financement dont ils ont besoin – et que le leadership d’entreprise comprend leur importance

Exigences du CISO

Que faut-il pour être considéré pour ce rôle? D’une manière générale, un CISO a besoin d’une base technique solide. Cyberdegrees.org dit que, généralement, un candidat devrait avoir un baccalauréat en informatique ou un domaine connexe et sept à 12 ans d’expérience professionnelle, dont au moins cinq dans un rôle de gestion; Les diplômes de maîtrise technique avec un objectif de sécurité sont également de plus en plus en vogue.

Il existe également une liste de blanchisserie des compétences techniques attendues: au-delà des bases de la programmation et de l’administration du système que tout directeur technologique de haut niveau devrait avoir, vous devriez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, le VPN, les services proxy et les technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et pare-feu et protocoles de détection / prévention des intrusions. Et parce que les CISO devraient aider à la conformité réglementaire, vous devez également connaître une multitude de réglementations qui affectent votre industrie, notamment PCI DSS, HIPAA, GLBA et SOX.

Mais les connaissances techniques ne sont pas la seule exigence pour accrocher le travail – et peut même ne pas être la plus importante. «Les CISO efficaces sont par leur nature transversale et mélangent une expertise technique avec une compréhension de l’entreprise», explique Ralph Pyne, CISO pour Apollo.io. «Les équipes de sécurité ont souvent des budgets limités, de sorte que les praticiens connaissent bien l’approche« faire plus avec moins »qui les fait confiance par l’équipe financière.»

Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein des dirigeants de l’entreprise. Le chercheur en informatique Larry Ponemon, s’adressant à Secureworld, a déclaré que «les CISO les plus importantes ont une bonne base technique mais ont souvent des antécédents commerciaux, un MBA et les compétences nécessaires pour communiquer avec d’autres cadres de niveau C et le conseil d’administration.»

Paul Wallenberg, vice-président associé des services technologiques de l’agence de personnel Lasalle Network, a déclaré que la combinaison de compétences techniques et non techniques par lesquelles un candidat de la CISO est jugé peut varier en fonction de l’entreprise faisant l’embauche.

«D’une manière générale, les entreprises ayant une portée mondiale ou internationale en tant qu’entreprise chercheront des candidats ayant une formation holistique et fonctionnelle et adopteront l’approche de l’évaluation des compétences en leadership tout en comprenant la progression de la carrière et les réalisations historiques», dit-il. «De l’autre côté de la médaille, les entreprises qui ont une entreprise plus Web et axée sur le Web s’appuient sur l’embauche de compétences spécifiques autour de l’application et de la sécurité Web.»

«Il y a une décennie, la conformité ou l’expérience générale informatique a suffi», explique Nic Adams, co-fondateur et PDG de 0RCUS, qui a traité des CISO dans un certain nombre d’organisations et d’industries dans le cadre de son conseil en sécurité contradictoire. «Les CISO d’aujourd’hui apportent des cadres zéro-jours personnalisés, des OSInt en boucle fermée, une émulation d’adversaire en direct et une conception de contrôle anti-dorensique.»

Certifications CISO

Alors que vous montez l’échelle en prévoyant un saut vers le CISO, cela ne fait pas de mal de bronzer votre CV avec des certifications. Comme le dit la sécurité de l’information, «ces qualifications rafraîchissent la mémoire, invoquent une nouvelle pensée, augmentent la crédibilité et constituent une partie obligatoire de tout programme de formation interne.» Mais il y a un numéro quelque peu déroutant à choisir. Adams de 0RCUS pèche plusieurs certifications qu’il considère comme étant courantes parmi les CISO d’aujourd’hui:

  • «Les titres de compétences de métier tels que OSCP ou GPEN et Pedigree de développement d’exploitation éprouvé»
  • «Des certifications de gouvernance et d’audit comme le CISSP ou la CISA pour naviguer au niveau du risque au niveau du conseil»
  • «Les certifications de sécurité des cloud et des conteneurs telles que le spécialiste de la sécurité certifié CCSP ou Kubernetes»
  • «Certifications de la menace et DFIR comme GCIA ou GCIH»

Description du poste CISO

Si vous faites partie d’une recherche d’un CISO prometteur pour votre organisation, une partie de cela implique d’écrire une description de poste – et une grande partie de ce que nous avons discuté jusqu’à présent jette la base de la façon dont vous abordez cela.

«Les entreprises décident d’abord si elles veulent embaucher un CISO et obtenir des approbations pour le niveau, la structure de rapports et le titre officiel pour le poste – dans les petites entreprises, les CISO peuvent être VPS ou directeur de la sécurité», explique Wallenberg de Lasalle Network. «Ils doivent également définir les exigences et les qualifications minimales du rôle, puis aller sur le marché pour les candidats externes ou la publication pour les candidats internes.»

Votre description de travail CISO ne devrait pas non plus être générique. Adams de 0RCUS décompose comment différents types d’organisations doivent adapter de manière unique la description de poste et les responsabilités de leur CISO:

  • «Les organisations du secteur public et de la défense se concentrent sur la manipulation classifiée des données, les gardes inter-domaines, le FISMA et les plongées profondes du NIST, et la chasse aux menaces de qualité souveraine.»
  • «Les entreprises technologiques du secteur privé mettent l’accent sur la sécurité des pipelines CI / CD, l’intégration de DevSecops, les opérations en équipe rouge-feu et la micro-segmentation zéro.»
  • «Les industries réglementées telles que la finance et les soins de santé nécessitent des analyses de fraude en temps réel, un alignement de blanchiment de votre client / anti-monnaie, des architectures de cryptage et des évaluations de risques tierces continues.»

Michael Nadeau expose en détail comment vous abordez la rédaction d’une description de poste de CISO. L’une des choses importantes qu’il souligne est que votre description devrait rendre l’engagement de votre organisation à la sécurité très claire dès le départ, car c’est ainsi que vous allez attirer un candidat de haute qualité. Vous devez souligner où le nouveau CISO se retrouvera sur le tableau des organisations et la quantité d’interaction des planches, il aura vraiment pour vraiment clarifier ce point.

Un autre point important souligne que Nadeau est de maintenir la description de poste fraîche, même si vous avez quelqu’un dans le rôle – après tout, vous ne savez jamais quand cette personne passera à une autre opportunité, et c’est un travail crucial que vous ne voulez pas laisser de personnel.

Ciso Salaries

Le CISO est un travail de haut niveau et les CISO sont payés en conséquence. La prévision des salaires est plus un art qu’une science, bien sûr, mais le fort consensus est que les salaires bien supérieurs à 100 000 $ sont typiques. Au moment d’écrire ces lignes, Ziprecruiter a la moyenne nationale à 148 746 $; Salary.com pèse la gamme typique beaucoup plus élevée, entre 346 000 $ et 429 000 $. Les gammes salariales de Glassdoor pour les offres d’emploi actuelles du CISO se trouvent quelque part au milieu, allant de 204 000 $ à 364 000 $.

Emplois CISO

Le paysage de l’emploi Ciso est toujours en train de changer, et nous avons beaucoup de matériel pour vous tenir au courant de la façon d’obtenir un emploi de CISO, et comment naviguer dans le paysage de carrière:

  • «Les CISO repositionnent leurs rôles pour le leadership d’entreprise»: en savoir plus sur la façon dont les CISO assument davantage de responsabilités en matière de risque d’entreprise.
  • «Le CISO est-il devenu le rôle le moins souhaitable dans les affaires?»: Jetez un œil attentif à la position difficile dans laquelle de nombreux CISO se trouvent.
  • «Ce que les DSI veulent des CISO: la collaboration et aucun point de pointe»: Deux DSI expliquent comment ils voient leurs relations avec la fonction de sécurité, et pourquoi les CISO doivent collaborer étroitement avec les DSI, qu’ils les rendent compte ou non.
  • «7 incidents de sécurité qui coûtent les CISO leur travail»: Lorsque vous êtes un cadre de haut niveau, le mâle s’arrête avec vous, comme ces CISO l’ont découvert. Laissez leurs échecs de sécurité vous servir d’opportunité d’apprentissage.

Qu’est-ce qu’un VCISO?

Une dernière note sur un développement récent dans le cheminement de carrière de la CISO: de nombreuses organisations – en particulier celles qui ne peuvent pas soutenir un CISO à temps plein – se tournent vers les CISO virtuels, ou ces dirigeants fractionnels ou à temps partiel sont des consultants indépendants ou travaillent dans le cadre d’une entreprise plus importante, et peuvent aider les entreprises à construire ou à mûrir leurs programmes de sécurité, à atteindre des objectifs de conformité et à guider les stratégies de gestion des risques, mais ils ne nécessitent pas ou ne nécessitent pas les programmes de sécurité, atteignent les objectifs de conformité, et guident les stratégies de gestion des risques, mais ils ne nécessitent pas la tête d’une hive à temps plein. Vous n’obtenez pas non plus toute l’attention d’un employé à temps plein, mais dans la pratique, ce n’est pas quelque chose que tout le monde a besoin; Par exemple, l’état de Cynomi du Virtual CISO 2024 a montré que 75% des MSP et des MSSP rapportent une très forte demande de VCISO et de CISO fractionnaires.

Pour les professionnels de la sécurité, le chemin VCISO offre autre chose: le contrôle. Qu’il s’agisse de travailler en solo, de s’associer à une entreprise ou de construire un cabinet de conseil en boutique, les VCISO bénéficient d’une plus grande autonomie et variété dans leur travail quotidien et peuvent façonner les engagements pour s’adapter à leurs forces. C’est une alternative viable et potentiellement enrichissante à l’échelle de direction traditionnelle – en particulier pour ceux qui sont toujours à la recherche de nouveaux défis et qui veulent garder leurs compétences vives dans toutes les industries. Pour en savoir plus, lisez «The Rise of VCISO en tant que cheminement de carrière viable de cybersécurité».

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services