Plusieurs parcours peuvent mener au métier de RSSI (Directeur de la sécurité des systèmes d'information, ou CISO) en entreprise et sur le terrain.
Devenir RSSI : quels parcours et de quelles qualités faire preuve ?
Morey Haber, conseiller en chef en sécurité chez BeyondTrust a accepté de partager sa réflexion sur le sujet.
Il existe trois parcours plus récurrents qui peuvent aider tout professionnel de la cybersécurité à comprendre comment devenir RSSI et à évoluer avec succès dans ce rôle. Bien que ces parcours puissent paraître simples, les exigences, le stress et les responsabilités inhérents à ce métier doivent être pris en considération avant de se lancer. Et si de nombreux RSSI partagent des points communs, comme une qualité de sommeil anormalement mauvaise, le chemin pour atteindre cet objectif de carrière est indépendant de l’objectif lui-même et peut varier.
Les 3 parcours les plus récurrents pour devenir RSSI
Le grimpeur en cybersécurité – C’est un professionnel expérimenté en cybersécurité qui a été promu au poste de RSSI en raison de sa maturité technique et commerciale. Il tient généralement des rôles d’analyste de sécurité, d’ingénieur de sécurité et de SOC. Son expertise technique approfondie et sa forte crédibilité auprès des équipes sont ses atouts majeurs. Cependant, il lui faudra peut-être renforcer sa présence au conseil d’administration, ses compétences en communication et son des affaires.
Le transfert exécutif – Il s’agit généralement d’un cadre supérieur expérimenté de niveau C dans un département adjacent, tel que CTO ou CIO, qui assume le poste de RSSI afin de satisfaire aux objectifs commerciaux et aux exigences de conformité réglementaire. Ses points forts sont indéniablement son leadership, sa capacité à gérer les risques et son alignement stratégique. Mais il risque d’avoir une expérience pratique limitée en matière de sécurité lorsque les détails sont pris en compte.
Le stratège instruit – C’est souvent un cadre instruit qui a obtenu un diplôme de CSO, RSSI ou un master similaire et qui est devenu RSSI sur la base de son expérience et de ses accréditations. Il est polyvalent, il comprend les cadres et les moteurs commerciaux. Ce qui lui fait cependant défaut, c’est une expérience concrète qui peut être nécessaire pour acquérir une crédibilité opérationnelle et comprendre ce qu’il faut, des solutions aux personnes, pour adopter et appliquer la sécurité dans le monde réel.
Comprendre ces trajectoires (et les qualités requises pour réussir à ce poste) sera un atout pour quiconque souhaitant devenir RSSI. Gravir les échelons techniques, évoluer depuis un poste de direction similaire ou suivre une formation spécialisée en gestion, ce qui compte avant tout, c’est la capacité à diriger, communiquer, obtenir de la visibilité et gérer la complexité en tant que responsable de la cybersécurité.
À partir de ces trois parcours professionnels, il est difficile de déterminer lequel est le plus adapté à une entreprise ou à un individu. Chaque parcours présente ses atouts et ses inconvénients. Cependant, s’il n’existe pas de voie idéale pour devenir RSSI.
Les compétentes et qualités clés d’un RSSI
Les RSSI performants partagent généralement quelques caractéristiques clés. Sans celles-ci, même les responsables de la cybersécurité les plus expérimentés peuvent échouer, tant sur le plan personnel que pour la sécurité de l’organisation. Ces caractéristiques sont :
- Des compétences de communication exigeantes, tant à l’oral qu’à l’écrit
Il doit exposer clairement les risques, les incidents, les stratégies et les priorités aux parties prenantes. Sans cela, les problèmes les plus simples peuvent entraîner des erreurs coûteuses, des retards de réponse ou des programmes de sécurité mal exécutés.
- L’honnêteté
Toutes les communications avec toutes les parties, notamment juridiques, doivent être honnêtes, complètes et précises. Une divulgation complète et précise, surtout pendant ou après une violation, peut faire la différence entre un incident gérable et un désastre pour la réputation.
- Des connaissances techniques
Contrairement aux idées reçues, un RSSI n’a pas besoin d’être extrêmement technique. Cependant, une maîtrise technique suffisante pour comprendre les risques et orienter les réponses est essentielle pour maintenir sa crédibilité et orienter les décisions en tant que responsable de la cybersécurité.
- Être au fait des exigences légales et réglementaires de conformité
Se tenir au courant des subtilités des exigences applicables est l’une des responsabilités les plus importantes des RSSI modernes.
- Accepter une responsabilité étendue
Les entreprises disposent de plusieurs services chargés de la sécurité, et les RSSI doivent prendre en charge la cybersécurité dans tous les services : informatique, cloud, développement d’applications et sécurité physique. La fragmentation des fonctions de sécurité entre les équipes engendre souvent des silos et une certaine confusion. Le RSSI, ou idéalement un responsable de la sécurité, doit être l’orchestrateur central chargé d’harmoniser les budgets, de résoudre les conflits et de piloter une stratégie unifiée de sécurité physique et de cybersécurité à l’échelle de l’organisation.
- Savoir ajuster sa personnalité
Un RSSI doit posséder quelques qualités supplémentaires pour assurer sa longévité au sein d’une organisation et préserver sa santé. Ce rôle est très stressant et le burn-out est réel. Patience, calme, fiabilité et cohérence émotionnelle sont indispensables. Ces traits de personnalité déterminent souvent la longévité et la réussite d’un RSSI dans des environnements de cybersécurité d’entreprise sous pression. Tout trait négatif, comme la colère, finira par nuire à l’entreprise. Il a été signalé par le passé que les RSSI présentent un taux élevé de dépendance à la drogue et à l’alcool en raison du stress lié à leur fonction. Les meilleurs RSSI d’entreprise ont appris à gérer la pression sans se laisser submerger. Ils ont (sans blague) appris à dormir la nuit et à maintenir leur équilibre face à toute crise ou tout projet.
À mesure que les dirigeants techniques accèdent à des postes de direction, nombre d’entre eux apportent une expérience approfondie d’outils tels que le Privileged Access Management (PAM) pour aider à réduire les risques.
Il n’y a pas de chemin unique
Il n’existe pas de solution unique ni universelle pour devenir RSSI. Mais que l’on gravisse les échelons techniques ou que l’on occupe un poste de direction, la clé du succès à long terme réside dans la maîtrise des aspects humains et stratégiques du leadership en cybersécurité.
Commencer par développer les qualités essentielles et découvrir comment un leadership fort, une communication claire et une expertise technique peuvent propulser une carrière en cybersécurité jusqu’au conseil d’administration.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
- Perspectives IA, Cybersécurité et STaaS en 2025
- Impact des outils d’IA sur la satisfaction, le niveau de stress et le bien-être !
- La portabilité des données, un élément essentiel pour soutenir l’émergence des clouds souverains
