· Hamid SAIDI · Leadership  · 3 min read

Lundi matin. Le CISO est de retour au bureau. Et cette question qui revient : POURQUOI JE FAIS ÇA DÉJÀ ?

Réflexion d’un lundi matin avant le deuxième café. Toute ressemblance avec une vérité absolue serait purement fortuite.

Réflexion d’un lundi matin avant le deuxième café. Toute ressemblance avec une vérité absolue serait purement fortuite.

Soyons honnêtes un instant. Combien de CISO continueraient à travailler pour leur entreprise s’ils gagnaient la super cagnotte au loto ce vendredi 13 ?

La réponse est simple : ZERO !

Le CISO travaille-t-il vraiment par vertu ?

Posons-nous la question honnêtement : est-il là par amour du travail ? Par morale ? Pour “la valeur travail” ?

Probablement pas uniquement pour ces raisons. Le travail, au fond, n’est pas tant une valeur morale qu’une valeur marchande.

S’il travaille, c’est certainement parce qu’il est contraint économiquement de le faire. Et c’est précisément pour cela qu’on le paie.

À partir de là, une question essentielle se pose :

👉 Après quoi court réellement un CISO lorsqu’il est contrain de travailler ?

Le sens ? Pas si vite.

Oui, dans certains cas, le travail du CISO a du sens : protéger l’entreprise, réduire des risques, éviter des impacts humains, financiers, réputationnels

Mais soyons lucides : une partie non négligeable de l’activité sécurité relève aussi du bullshit :

  • Reporting pour le reporting : des slides pour des slides, des dashboards que personne ne lit
  • Conformité sans impact réel : cocher des cases pour l’audit, obtenir des certifications qui impressionnent les commerciaux mais ne réduisent aucun risque
  • La multiplication des CISO : CISO Data, CISO Production, CISO Métier, CISO IA… Dans les grands groupes, gérer un projet devient un enfer de coordination. Résultat ? Des réunions sans fin pour aligner des périmètres qui se chevauchent. Et au final : personne n’est vraiment responsable de rien.
  • Projets vendus comme stratégique mais déconnectés du terrain : des roadmaps ambitieuses qui s’écroulent face à la réalité, des budgets validés puis réalloués au dernier trimestre

Et quand le travail manque de sens, il devient mécaniquement démotivant.

Comme le dit si bien André Comte-Sponville : le sens est une condition nécessaire de la motivation, jamais une condition suffisante.

Alors, l’argent ? Oui, mais pas seulement.

Est-ce que le CISO court après l’argent ? Oui. Clairement, et comme la plupart des salariés. C’est pour cela qu’il vient travailler.

L’argent rend motivABLE.

Mais si un CISO reste dans une entreprise, alors même que le marché lui offre des opportunités ailleurs, ce n’est pas uniquement pour l’argent.

👉 C’est qu’il y trouve un certain plaisir.

Alors, qu’est-ce qui rend vraiment un CISO heureux ?

En discutant avec mes pairs, il me semble qu’un CISO est heureux quand :

  • il a un pouvoir d’influence réel, pas symbolique
  • il est écouté avant l’incident, pas célébré après la crise
  • ses arbitrages sont compris comme des décisions business, pas comme du frein
  • il peut construire dans le temps, pas colmater en urgence permanente
  • il sent que son intelligence est utilisée et il peut transmettre ses connaissances

Bref, quand il n’est plus un fusible, mais un acteur stratégique.

Mais quand ce n’est pas le cas ? Quand le budget est ridicule et que les décisions sont ignorées ? C’est là que ça devient dur. Parce qu’on peut croire en ce qu’on fait… et se sentir totalement impuissant et stressé.

Alors posons un autre question.

👉 Le premier risque cyber n’est-il pas, finalement, un CISO désengagé dans une organisation qui ne le rends plus heureux ?

Parce qu’une cybersécurité portée par des gens qui n’y croient plus n’est pas un problème technique. C’est un risque humain.

Et celui-là, aucun outil ne le corrigera.

Share:
Revenir au Blog

Articles connexes

Voir tous les articles »