Les RSSI sont très demandés et difficiles à retenir. Ce sont les enseignements d’une étude menée par Markin Hawk qui a analysé le profil de 470 CISO dans différentes régions : Amérique du Nord (300), Europe (125) et Asie-Pacifique (45) et dans des entreprises de plus de 10 000 salariés. On apprend ainsi que 64% des sondés ont été recrutés en externe, c’est-à-dire en provenance d’une autre société. En Asie-Pacifique, ce taux atteint un record de 78%, l’Europe est à 62%.

Pour expliquer ces chiffres, le rapport avance plusieurs raisons. La première serait la volonté de débaucher des pointures en cybersécurité qui ont fait leur preuve dans d’autres sociétés. Autre élément, le manque d’accès au comité exécutif peut pousser certains RSSI à privilégier des postes dans des entreprises de taille intermédiaire ou moyenne où les relations avec la direction sont plus étroites. Le rapport cite une étude d’IDG montrant que seulement 22% des CISO de grandes entreprises rapportent au DG alors qu’ils sont 59% dans les PME.

Des recrutements massifs pendant la pandémie

Un autre fait pointé par l’étude : les RSSI de grandes entreprises ne sont pas en poste depuis longtemps. 53% des sondés le sont depuis 2 ans ou moins. Cela signifie qu’une vague de recrutement a eu lieu pendant la pandémie à la recherche d’expert en cybersécurité. Avec le développement du télétravail et la hausse des menaces, le poste de CISO a été particulièrement mis en avant et son rôle a été élargi. Une extension qui joue sur l’augmentation des salaires et provoque une forte concurrence à l’embauche.

Victime de cette course au débauchage externe, la promotion interne est en panne. L’étude montre par exemple que si les plans de succession existent, ils sont très peu appliqués dans la réalité. Là encore le manque de relations avec la direction est un obstacle pour assurer la continuité dans le poste de CISO. Pour James Larkin, chercheur associé chez Marlin Hawk : « si les entreprises veulent renforcer leurs rangs de compétences cyber, tout en maintenant les acquis techniques, alors la formation interne, changement de management, les certifications et une expérience professionnelle plus large doivent être prises en compte ». Sinon, il prévoit « une pénurie continue de l’offre pendant une autre décennie, en attendant l’arrivée d’une prochaine génération de leaders ».