69 % des CISO les plus performants consacrent du temps au développement professionnel personnel. Gartner s’est intéressé aux comportements clés qui changent la donne.

Une enquête récente menée par Gartner, Inc. auprès des CISO a révélé que 69 % des plus performants consacrent du temps récurrent sur leur calendrier au développement professionnel personnel. Ceci est à comparer avec seulement 36 % des CISO les moins performants qui le font.

« Alors que le rôle du CISO continue d’évoluer rapidement, il devient encore plus essentiel pour les responsables de la sécurité et des risques de consacrer du temps au développement professionnel, assure Chiara Girardi, Senior Principal, Cybersecurity Research, Gartner. Développer de nouvelles compétences et connaissances à mesure que le rôle évolue est essentiel pour servir efficacement de conseiller stratégique à l’entreprise. »

Chiara Girardi : « Les fonctions non informatiques sont des partenaires clés qui peuvent prendre des décisions en matière de technologie et de cybersécurité en dehors de l’informatique »,

Développement professionnel personnel, cinq comportements clé

De nouvelles compétences et connaissances… mais lesquelles ? Gartner a interrogé 227 CISO. Les répondants ont été évalués sur les domaines clés de l’efficacité ; ceux qui se situent dans le tiers supérieur étant classés comme « les plus performants ». L’étude a identifié cinq comportements clés qui différencient considérablement les CISO les plus performants des moins performants. En moyenne, chacun de ces comportements est au moins 1,5 fois plus répandu chez les plus performants que chez les moins performants…

Par exemple, l’enquête a révélé que 77 % des CISO les plus performants engagent des conversations au sein de l’entreprise sur l’évolution des normes de sécurité nationales et internationales, telles que le piratage informatique et l’attribution des menaces. Ceci est à comparer avec seulement la moitié des moins performants qui le font.

Influencer les investissements

« Aucune organisation ne peut être entièrement protégée contre toutes les cybermenaces, observe Chiara Girardi. Les CISO les plus efficaces restent informés des risques existants et émergents afin de pouvoir fournir aux dirigeants un contexte autour des menaces les plus importantes auxquelles l’entreprise est confrontée. Ce faisant, ils pourront influencer les investissements et les décisions en matière de risques en conséquence. »

De plus, 63 % des CISO les plus performants s’engagent de manière proactive dans la sécurisation des technologies émergentes telles que l’intelligence artificielle, l’apprentissage automatique et la blockchain, contre seulement 38 % des CISO les moins performants.

« Alors que l’adoption de l’IA se multiplie, les CISO sont déjà en retard dans l’évaluation de son impact sur les risques, observe Chiara Girardi. Les auteurs de menaces ont toujours une longueur d’avance, les CISO doivent donc être plus proactifs dans la compréhension de l’impact sur la sécurité de technologies telles que l’IA générative et dans la communication de ces risques aux hauts dirigeants de l’entreprise. »

A la rencontre des parties prenantes non-informatiques

Les CISO les plus performants s’engagent de manière proactive auprès des décideurs de haut niveau de l’entreprise, par exemple en établissant des relations en dehors du contexte des projets (65 %) et en collaborant pour définir l’appétit pour le risque de l’entreprise (67 %). De plus, les CISO les plus efficaces rencontrent régulièrement trois fois plus de parties prenantes non informatiques que de parties prenantes informatiques, telles que les chefs des ventes, les responsables du marketing et les chefs d’unités commerciales.

« Les fonctions non informatiques sont des partenaires clés qui peuvent prendre des décisions en matière de technologie et de cybersécurité en dehors de l’informatique, poursuit Chiara Girardi. En réservant du temps pour établir des relations avec les décideurs de haut niveau de l’entreprise, les CISO peuvent cultiver un environnement dans lequel les décideurs comprennent et se soucient de la cybersécurité et de ses implications. »