20 janvier 2021
Caldwell dévoile les données de référence qui se cachent derrière le rôle du CISO

Caldwell dévoile les données de référence qui se cachent derrière le rôle du CISO

Le coût moyen d’une faille de sécurité avoisinant les 4 millions de dollars et plus de 82 % des entreprises faisant état d’un manque de compétences informatiques au sein de leur organisation, le leadership et la stabilité en matière de sécurité sont devenus primordiaux, selon une nouvelle étude réalisée par Caldwell et IANS Research.

17 décembre 2020 – Dans un environnement où les responsables de la sécurité de l’information font de plus en plus partie de la “C-suite” et sont considérés comme des responsables des risques commerciaux, le temps est compté et il est difficile de trouver des données de référence précises et agrégées en temps réel, selon un nouveau rapport rédigé par les responsables des pratiques de cybersécurité de Caldwell et de la société de recherche sur la sécurité IANS Research. L’étude du CISO se concentre sur la rémunération du rôle, la budgétisation des programmes de sécurité et la satisfaction professionnelle globale.

En tant que pionniers du recrutement dans le domaine de la cybersécurité, Matt Comyns et Steve Martano, du cabinet d’avocats Caldwell, ont pris place au rez-de-chaussée de la révolution de la sécurité de l’information. Ils se sont concentrés sur le recrutement de CISO et de responsables de CISO pour les entreprises du Fortune 500, et ont contribué à faire monter à bord des leaders de la sécurité pour certaines des marques et entreprises les plus connues au monde. Alors que la sécurité est passée au premier plan des groupes de capital-investissement et de capital-risque, ils continuent à faire de plus en plus pour les entreprises privées qui cherchent à mettre en place un programme à partir de la base.

Caldwell et l’INA ont collaboré à ce rapport du CISO afin de combler le fossé d’information entre les praticiens, de supprimer les obstacles à l’analyse comparative et de comprendre où se situe un programme par rapport à un groupe de pairs. Au-delà de l’analyse comparative des rémunérations et du budget des programmes, la recherche a également examiné les principaux facteurs de satisfaction des CISO afin de mieux comprendre le calcul qui sous-tend l’ouverture d’un CISO à un changement d’emploi.

Dans un environnement de menace incroyablement complexe, la stabilité des programmes de sécurité et l’engagement du CISO n’ont jamais été aussi importants. Avec un coût moyen d’une brèche de l’ordre de 4 millions de dollars (selon le rapport d’IBM sur le coût d’une brèche de données en 2019), et plus de 82 % des entreprises signalant une pénurie de compétences informatiques au sein de leur organisation (enquête du SCRS de 2019), le leadership et la stabilité en matière de sécurité sont primordiaux.

“Au-delà des coûts financiers d’une brèche, les responsables de la sécurité sont chargés de diriger les programmes et les équipes qui font partie intégrante de la continuité et de l’activation des activités”, a déclaré M. Martano. Le dévoilement de certaines des données qui sous-tendent la rémunération et la budgétisation des programmes crée un environnement de transparence, a-t-il noté. “Dans une fonction où la pression réglementaire et de conformité change et évolue constamment, la stabilité, la continuité et les feuilles de route pluriannuelles en matière de sécurité sont essentielles au succès des programmes à long terme”.


Matt Comyns est associé directeur du département de cybersécurité de Caldwell et membre du bureau de Stamford, Conn. Il se concentre sur le recrutement de responsables de la sécurité de l’information et de lieutenants de haut niveau en sécurité de l’information pour les grandes entreprises mondiales et les sociétés privées à croissance rapide, ainsi que de consultants en cybersécurité pour les principales entreprises de services professionnels et de cadres supérieurs pour les sociétés technologiques de cybersécurité. M. Comyns est également conseiller stratégique pour ClearSky, une société de capital-risque et de capital-développement.


Comme pour d’autres fonctions, le coût du maintien d’un CISO est généralement moins élevé que le coût du recrutement d’un nouveau cadre, a déclaré M. Comyns. “Entre les coûts de recrutement, les bonus et les rachats d’actions, l’incitation au changement, et la formation et le développement d’un nouveau CISO, les managers et les responsables des RH ont la possibilité d’évaluer la satisfaction actuelle du CISO, et d’atténuer le risque d’un départ non souhaité et inattendu du CISO”, a-t-il noté.

La compréhension des facteurs de satisfaction des CISO peut permettre des discussions proactives entre les CISO et les responsables du recrutement, et les partenaires commerciaux des RH. Communiquer avec les CISO pour comprendre ce qui les motive et comment ils perçoivent l’entreprise dans son ensemble est essentiel pour évaluer correctement si un responsable de la sécurité de l’information est pleinement engagé ou s’il a un pied dehors.

Selon les conclusions du rapport, l’indemnisation n’est pas la Le fait que les CISO quittent leur rôle actuel est le principal facteur qui les pousse à le faire, même s’il n’est pas surprenant que cela joue un rôle. Au-delà de la rémunération, les RSSI attendent des dirigeants de leur organisation qu’ils fournissent le soutien organisationnel adéquat pour mener à bien un programme. En outre, les CISO qui sont ouverts à un changement de poste sont actuellement insatisfaits des plans de développement de carrière (s’il y en a) qui leur sont proposés.

“La fonction de sécurité a la réputation d’être une porte tournante, avec des durées moyennes de 18 à 24 mois”, a déclaré M. Martano. “Avec plus de transparence, les organisations peuvent atténuer le risque d’un départ inattendu en se concentrant sur les facteurs de satisfaction, et en fournissant aux RSSI le soutien organisationnel et le développement professionnel et personnel appropriés pour réussir”.

Dans un exemple, M. Martano a expliqué comment il s’engage avec ses clients et ses placements bien après la fin du processus de recrutement. “Je me souviens particulièrement d’un exemple d’il y a quelques années, où je me suis rendu au Minnesota pour faciliter une discussion avec un CISO que nous avions recruté dans un système de santé bien connu”, a-t-il déclaré.

“En réservant du temps au CISO et au CIO pour parler de ce qui fonctionnait et de ce qui ne fonctionnait pas au cours de leur première année, nous avons pu rapidement identifier certaines des lacunes en matière de communication et d’attentes”, a-t-il ajouté. “En facilitant une conversation transparente et honnête sur les priorités, nous avons permis au CISO de réussir. Je suis heureux de dire qu’il est toujours en poste près de cinq ans plus tard.


Steven Martano est consultant dans le domaine de la cybersécurité chez Caldwell, et membre du bureau de Stamford, Conn. du cabinet. Auparavant, il était directeur d’une société de recherche de boutiques, au service de clients dans les domaines de la technologie et de l’industrie. Avant cela, M. Martano a passé sept ans chez Russell Reynolds Associates, où il a contribué à la mise en place des pratiques fonctionnelles en matière de cybersécurité et de chaîne d’approvisionnement, avec le chef de cabinet Matt Comyns.


“Il s’agit de soutenir l’organisation et d’établir des relations”, a déclaré M. Martano. “Nous avons récemment placé un CISO auprès d’un prêteur hypothécaire soutenu par des capitaux privés – le tout premier CISO organisationnel de la société. Nous avons présenté un candidat qui ne correspondait pas exactement à la réalité sur le papier, quelqu’un que nous avions trouvé comme un vrai talent grâce à notre propre réseau”. Le responsable du recrutement / DSI a été un partenaire actif tout au long du processus de recrutement, et a eu une perspective sur le soutien organisationnel à apporter au CISO à l’avenir. “Cette relation et cette articulation lui ont permis de s’impliquer dans le processus de recrutement, car elle et le DSI se sont vraiment bien entendus. C’est la réflexion et la conversation à long terme qui l’a enthousiasmée pour le poste ; le DSI pouvait expliquer comment l’organisation la soutiendrait à mesure que l’entreprise prendrait de l’ampleur, et elle a refusé une autre bonne offre pour accepter celle-ci”.

Comyns et Martano, les profils, les structures et les chiffres des rémunérations ont considérablement changé. Bien qu’elle ne soit pas tout à fait à l’équilibre, la rémunération est moins variable qu’il y a plusieurs années.

Pourtant, il y a beaucoup de désinformation sur le marché en ce qui concerne l’indemnisation du CISO, ce qui a été l’un des principaux moteurs de l’étude du CISO. “Nous examinerions les études d’indemnisation des tiers et les structures de rapport, et cela ne correspondrait pas à ce que nous entendons tous les jours de la part des praticiens”, a déclaré M. Martano. “C’est l’une des principales raisons qui nous ont poussés à créer un ensemble de données agrégées, pluriannuelles, qui nous permettent de suivre les tendances et de donner des informations en temps réel”.

Le profil de rémunération d’un responsable de la sécurité de l’information a changé au fil du temps, à mesure que la fonction a évolué et a gagné en importance et en visibilité dans l’organisation. Selon M. Comyns, “Il y a quelques années, il était rare qu’un RSSI d’un secteur non réglementé soit exposé au conseil d’administration. Aujourd’hui, c’est l’une des premières questions que l’on nous pose lorsque nous parlons à des candidats potentiels d’un nouveau poste : “Le poste est-il soutenu par le conseil d’administration et aurai-je accès au conseil d’administration si je l’acceptais ?

Le poste de RSSI a été élevé au point que les candidats s’attendent à ce que ce niveau d’exposition leur permette de passer à une nouvelle entreprise. En tant que cadres à risque, ils veulent savoir qu’ils sont appréciés lorsqu’ils franchissent le seuil de la porte et, comme forme d’engagement, ils exigent plus d’équité.

Sociétés de capital-investissement et de capital-risque

“Les sociétés de capital-investissement et de capital-risque rattrapent le marché plus large des talents en matière de sécurité, et l’un des facteurs de différenciation pour elles est qu’une majorité de la rémunération finit par être la part de capitaux propres”, a déclaré M. Coymns. “Souvent, les sociétés de capital-investissement ne se contentent pas d’apporter des fonds propres dans le cadre d’un programme annuel de rémunération, mais elles proposent des rachats à prix réduit pour permettre aux particuliers d’investir leurs propres capitaux dans l’entreprise qu’ils rejoignent”.


Les menaces pour la sécurité créent des défis et des opportunités pour les talents
La cybersécurité pourrait bien être le plus grand défi auquel sont confrontées les entreprises américaines aujourd’hui. La menace pour la réputation, les informations privées et l’argent – tant pour le vol immédiat que pour le coût de réparation des dommages d’une cyber-attaque – peut être stupéfiante.


Qu’il s’agisse de comprendre la satisfaction au travail, de budgétiser ou de rémunérer, tout est question d’atténuation des risques, indique le rapport. L’évaluation comparative dans le domaine de la sécurité est difficile en raison des obligations et des distractions liées au travail quotidien du CISO. Utiliser l’étude du CISO comme un outil pour faciliter la transparence entre les CISO et les responsables de l’embauche peut conduire à de bonnes conversations qui mènent à des cadres de sécurité plus durables.

Le rapport indique que si l’évaluation comparative n’est pas censée être une panacée, elle crée les bases de la confiance et de la transparence, et démontre qu’une organisation est ouverte à la compréhension de la manière dont ses responsables de la sécurité se comparent à leurs pairs en termes de rémunération, de personnel et de budget.

“Un des principaux défis dans l’environnement de sécurité actuel est le déséquilibre de l’information”, a déclaré M. Martano. “Alors que les RSSI se parlent rarement et échangent des notes sur des environnements de menaces complexes, les acteurs malveillants se synchronisent et échangent régulièrement des notes via le web noir”. L’importance d’un marché transparent dans tous les domaines, de l’information sur les menaces à la budgétisation en passant par la satisfaction professionnelle, est censée avoir un effet positif sur l’ensemble de la communauté des RSSI.

“En tant qu’étude récurrente, nous attendons avec impatience de voir ce que 2021 et 2022 apporteront du point de vue des données”, a déclaré M. Martano. “Les facteurs de satisfaction peuvent changer, et la rémunération peut augmenter ou commencer à se stabiliser, mais quoi qu’il en soit, suivre les tendances du secteur en matière d’embauche et de manque de talents dans le domaine de la sécurité est une entreprise qui en vaut la peine”.

Si vous êtes intéressé par les résultats de haut niveau, [click here]

Contribution de Scott A. Scanlon, rédacteur en chef ; Dale M. Zupsansky, directeur de la rédaction ; et Stephen Sawicki, directeur de la rédaction – Hunt Scanlon Media