Pour identifier les caractéristiques des CISO (Chief Security Information Officers) les plus performants, l'institut Gartner a évalué 129 d'entre eux sur quatre grands axes : le leadership dans leur fonction ; leur capacité à assurer la sécurité de l'information ; leur aptitude à mettre en oeuvre une gouvernance à l'échelle et enfin la capacité de réponse de l'entreprise.

Premier constat, seuls 12% des répondants se classent en tête sur les quatre axes et peuvent donc être considérés comme très efficaces. Pour Sam Olyaei, directeur de recherche chez Gartner, « aujourd'hui on attend des CISO un niveau de performance sans précédent ». La difficulté des missions confiées aux CISO augmente régulièrement, avec la complexité réglementaire croissante et un environnement numérique qui évolue très vite. La crise du Covid-19 est venue s'y ajouter, augmentant encore la pression pour que la sécurité IT devienne plus flexible et agile.

Des rencontres fréquentes avec les décideurs métiers

Le premier tiers du classement, correspondant aux CISO considérés comme « efficaces », se distingue toutefois du dernier tiers sur cinq critères : la capacité à engager des discussions sur l'évolution des normes de façon à garder de l'avance sur les menaces (80% du premier tiers contre 37% du dernier) ; une volonté de tenir informés les décideurs des risques actuels et potentiels pour l'entreprise (89% contre 56%) ; une démarche proactive pour sécuriser les technologies émergentes (70% contre 37%) ; la présence d'un plan de succession formalisé et actionnable (61% contre 35%) et enfin une collaboration avec les représentants métier pour définir ensemble la tolérance aux risques (66% contre 37%).

L'enquête montre aussi que les CISO les plus performants rencontrent régulièrement trois fois plus de décideurs hors IT que dans l'IT. Deux sur trois rencontrent au moins une fois par mois des responsables d'entités métiers, 43% le PDG, 45% la direction marketing et 30% la direction des ventes. Enfin, ils se différencient également par une meilleure résistance au stress : seuls 27% d'entre eux se sentent submergés par les alertes de sécurité, contre 62% du dernier tiers. Moins d'un tiers de ces CISO performants estime faire l'objet d'attentes irréalistes de la part des autres acteurs, contre plus de la moitié des moins performants.