Aux Etats-Unis, la durée de vie d’un Chief Information Security Officer (CISO) sur un poste ne dépasse pas en moyenne 18 mois !
Depuis sa création durant les années 90, le poste de CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le firewall. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l'explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusque aux environnements règlementaires.
Les menaces s’amoncellent sur le CISO
Conséquence de ce phénomène, le CISO peut être licencié ou invité à démissionner pour des motifs de plus en plus nombreux, qui vont de la faille oubliée à l’échec dans l’alignement au jour le jour des opérations de sécurité avec les objectifs des dirigeants. La principale difficulté provient de la responsabilité du CISO à assurer à 100 % la sécurité du système d’information de l’entreprise. Mission impossible, serions-nous tentés d’affirmer...
Par conséquence, la durée de vie d’un poste de CISO américain ne dépasse pas en moyenne les 18 mois.
Voilà qui place le CISO dans un challenge qui n’est plus seulement de faire face aux menaces qui déferlent sur l’organisation, il est également aujourd’hui d’assurer sa survie. Et d’affronter l’opinion publique, car aux Etats-unis comme en Europe l’obligation qui est faite aux organisations de publier les attaques dont elles sont victimes et d’informer leurs clients ne favorise pas l’image du responsable de la sécurité évidemment pointé du doigt.
Pourquoi virer le CISO ?
Cette tendance lourde à l’abaissement de la durée de vie moyenne du CISO dans son organisation n’a pas pour origine unique les attaques subies par l’entreprise. Celles-ci sont quotidiennes, et il est à espérer que les dirigeants sont suffisamment informés pour en être conscients. Certaines attaques, en revanche, lorsqu’elles sont accompagnées de vols de données sont tellement médiatisées qu'elles incitent les dirigeants à chercher un fusible, et pour cela le CISO est en première ligne !
D’autres incitations au licenciement et à la démission existent, sans que l’on puisse les quantifier réellement, car en dehors des grandes affaires médiatisées, ces mouvements ne sont généralement pas connus. Les motivations sont diverses :
- Faiblesse du reporting
- Dépassement de budget
- Non suivi des stratégies business
- Audits
Des erreurs au relationnel
D’autres motifs sont liés à la jeunesse du poste, généralement bien payé, souvent respecté, mais qui ne demande pas une forte expérience dans ce domaine spécifique. Cela crée et propage une situation que les anglo-saxons nomment FUD (Fear, Uncertainty and Doubt). Que des CIO anonymes ont traduit par « le CISO parle pour parler, pas pour agir... ». Tandis que les CISO regrettent qu’à trop réduire leurs budgets les DSI sous pression répercutent ces baisses sur la sécurité.
Cette évocation du DSI n’est pas anodine ! Il semblerait en effet que le CISO n’est pas toujours en bon terme avec sa hiérarchie. Et qu’il supporte parfois difficilement la relation avec le patron de l’informatique, accusé de ne pas suivre ses conseils de sécurité. En la matière, beaucoup de responsables de la sécurité (70 % selon Raython) pointent du doigt l’attitude de leurs dirigeants. Ils pensent que c’est le CEO qui dans la plupart des affaires de sécurité devrait être blâmé… Or, trop souvent les deux parties adoptent l’attitude du compromis, mais personne n’y gagne.
Et en France ?
En France, nous côtoyons plus de RSSI que de CISO. Notre infographie portrait du RSSI (lire ici), réalisée en partenariat avec le CESIN, révèle que 61 % des RSSI ont plus de 5 ans d’expérience sur le poste, mais n’indique pas combien de temps dure ce poste…
A notre connaissance, et je remercie notre réseau d’influenceurs pour cette information, la durée de vie moyenne d’un CISO français dans une grande entreprise serait plus proche des 2 ans. Merci de réagir à cet article pour nous donner votre point de vue.
Source : InfoSec Image d’entête 42513490 @ iStock jack191