Les entreprises ne consacrent pas beaucoup d’attention à la planification de leur prochain responsable de la sécurité de l’information, alors même que les effractions numériques se multiplient et que les entreprises continuent de débaucher des cyberleaders talentueux.
Le rôle du RSSI est en constante évolution, passant d’un rôle axé sur la technologie à un rôle de gestion d’un risque commercial clé. Bien qu’une base technologique soit toujours importante, les agences de réglementation et la perspective de piratages dévastateurs poussent les entreprises à élever la cybersécurité dans leur stratégie d’entreprise et à trouver des dirigeants expérimentés dans la gestion des risques.
Un RSSI moderne doit être capable d’évaluer les risques de sécurité dans un contexte commercial plus large et de travailler avec les membres du conseil d’administration sur une surveillance appropriée, a déclaré Jason Shockey, RSSI chez Cenlar FSB, une société de services hypothécaires.
Après tout, dit-il, une cyberattaque grave peut interrompre les opérations, compromettre les informations de l’entreprise et coûter des millions de dollars en réparation.
Pour ce genre de RSSI, le banc est peu profond, a-t-il déclaré. « Il faut de nombreuses années pour parvenir au point où l’on peut fonctionner efficacement de cette manière », a-t-il déclaré.
Cela signifie que les entreprises sont souvent confrontées à des difficultés lorsque leur RSSI part et qu’un remplaçant n’est pas facilement disponible.
La planification de la succession des RSSI fait défaut, selon le recruteur de cadres Heidrick & Struggles.
Sur 240 professionnels de la sécurité de l’information interrogés dans une étude publiée en juin, 41 % ont déclaré que leur entreprise n’avait pas de plan pour son prochain RSSI. Parmi ceux qui ont déclaré qu’un plan de relève existe, la plupart n’ont pas plus d’un candidat en tête, a constaté le recruteur.
Le rôle du RSSI est jeune par rapport à ses pairs leaders dans les domaines de la finance et de la technologie. Ce qui aggrave encore le problème de succession, c’est qu’il est difficile de trouver des RSSI à l’esprit commercial dans un contexte de pénurie importante de cyberprofessionnels.
Autre facteur : contrairement aux directeurs financiers, par exemple, qui, ces dernières années, ont été de plus en plus promus de l’intérieur, les RSSI qualifiés ont tendance à être débauchés pour des postes vacants. Le cabinet de recherche Marlin Hawk, dans une étude portant sur 470 RSSI dans le monde, a découvert qu’environ 62 % d’entre eux avaient été embauchés dans une autre entreprise. En revanche, le recrutement externe de directeurs financiers parmi les plus grandes entreprises américaines est tombé à 35 % en 2022, contre 43 % au début de la pandémie en 2020, selon le recruteur CristKolder Associates.
« Nous avons un réel problème avec la planification de la relève dans notre secteur », a déclaré Betsy Wille, directrice du Cybersecurity Studio, une société de développement des cadres.
Betsy Wille, directrice du Cybersecurity Studio.
Photo:
PARTENAIRES INSIGHT
L’année dernière, Wille a quitté son poste de RSSI chez Abbott Laboratories,
un fabricant de produits médicaux et nutritionnels, pour démarrer sa propre entreprise, et elle conseille aux cyber-chefs de trouver des candidats à former en tant que remplaçants potentiels. Les personnes travaillant dans les opérations de sécurité et ayant l’expérience de la réponse aux crises sont de bonnes perspectives, a-t-elle déclaré. Il en va de même pour les professionnels du risque et de la conformité. « Une grande partie des dirigeants traduisent les cyber-risques », a-t-elle déclaré.
« Il n’y a aucun autre rôle dans l’organisation à la croisée de la technologie, de la crise et du conseil d’administration », a-t-elle déclaré.
Un RSSI adjoint semblerait un successeur naturel au poste le plus élevé, mais seules les plus grandes entreprises disposent de suffisamment de personnel pour financer un poste d’adjoint, a déclaré Matt Aiello, un associé qui dirige la pratique de cybersécurité chez Heidrick & Struggles.
De plus, le marché en pleine effervescence signifie que les personnes portant ce titre sont souvent sélectionnées par d’autres entreprises avant que le rôle de patron ne s’ouvre, a-t-il déclaré.
Le plus grand obstacle à la planification de la succession est peut-être la nature de l’équipe cyber elle-même, a déclaré Aiello. Les fonctions de cybersécurité sont traditionnellement compartimentées, a-t-il déclaré. Autrement dit, les cadres supérieurs d’un RSSI sont des spécialistes : responsables de l’ingénierie de sécurité, des menaces ou de la gouvernance. Les experts commerciaux généralistes qui comprennent également la cybersécurité sont rares, a-t-il déclaré.
« Les arguments ne pourraient pas être plus opposés à la planification de la succession des RSSI », a-t-il déclaré.
Chez Cenlar, Shockey a déclaré qu’il s’efforçait de donner aux membres supérieurs de sa cyber-équipe une expérience dans les fonctions commerciales. Lorsqu’il a rejoint l’entreprise en 2021, il a étudié le secteur hypothécaire ainsi que les processus utilisés par Cenlar dans des domaines tels que le centre d’appels et les transferts de prêts. Il s’est ensuite entretenu avec des chefs d’entreprise de ces domaines pour comprendre en détail comment ils travaillent et ce qu’ils souhaitent accomplir, a-t-il déclaré.
Un bon successeur du RSSI, a-t-il déclaré, serait « un communicateur, un éducateur et un esprit financier ». Il faut beaucoup de temps pour amener une personne à assumer ce rôle.
Écrivez à Kim S. Nash à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
