#humeurdujour
CISO : le poste que personne ne veut recruter — et que tout le monde doit absolument pourvoir #
Pénurie structurelle, pression réglementaire, burn-out silencieux : bienvenue dans le recrutement le plus inconfortable de votre carrière.
Soyons directs : si vous êtes en train de recruter un Chief Information Security Officer, vous n’êtes pas en train de faire un recrutement executive comme les autres. Vous êtes en train de résoudre une équation avec trop d’inconnues, trop peu de candidats valables, et un contexte réglementaire qui s’est chargé de rendre le tout encore plus urgent qu’il y a dix-huit mois.
Le marché des CISO est peut-être le plus tendu de tout l’écosystème IT en France. Et contrairement à ce qu’on pourrait espérer, la situation ne s’améliore pas. Elle empire — méthodiquement, structurellement, sans signe de retournement à court terme.
Voilà ce que vous devez comprendre avant de lancer votre recherche.
Un poste à la croisée de toutes les tensions — et de toutes les responsabilités
Le CISO occupe aujourd’hui une position que l’on pourrait qualifier, sans exagérer, d’institutionnellement inconfortable. On lui demande de maîtriser les architectures techniques et les outils de détection. De connaître le droit applicable en cas de violation de données. De piloter des équipes sous pression permanente. De convaincre des directions métier dont la cybersécurité est, au mieux, une contrainte acceptable, au pire, un sujet dont elles préfèrent ne pas entendre parler.
Et quand la cyberattaque survient — et la question n’est plus si, mais quand — c’est lui qui gère la crise, qui communique vers l’extérieur, qui prend des décisions critiques avec des informations incomplètes, et qui assume la responsabilité publique de ce qui s’est passé.
On confie à une seule personne des compétences qui, dans n’importe quelle autre fonction, se répartissent entre plusieurs dirigeants. Et on lui demande de les exercer dans un état de vigilance qui ne connaît ni week-end ni vacances sereinement vécues.
Sur le terrain, dans les missions que nous menons chez Kalyptus, le schéma le plus courant n’est pas la création de poste : c’est le remplacement d’un responsable sécurité jugé insuffisamment complet, avec l’ambition d’élever le niveau de maturité global de l’organisation. Au-delà de l’expertise technique, ce que les dirigeants cherchent avant tout, c’est un leader capable d’installer une vraie culture de la sécurité — pas quelqu’un qui parle aux ingénieurs, mais quelqu’un qui convainc les métiers et fait remonter la cybersécurité au rang d’enjeu stratégique partagé.
NIS2, DORA et la mécanique implacable de la demande
La directive NIS2 a fait quelque chose de simple et de dévastateur pour le marché : elle a considérablement élargi le périmètre des organisations soumises à des obligations renforcées de cybersécurité. Là où NIS1 ne concernait qu’un nombre limité d’opérateurs, NIS2 s’étend à plusieurs milliers d’organisations supplémentaires en France — santé, transport, énergie, administrations publiques, et une part significative du secteur privé.
Pour chacune d’elles, NIS2 impose des exigences précises : gouvernance de la sécurité, gestion des risques, notification des incidents dans des délais très courts, sécurité de la chaîne d’approvisionnement, plans de continuité. Autant d’obligations qui présupposent une fonction CISO structurée — que beaucoup de ces organisations n’ont tout simplement pas.
Dans le secteur financier, DORA ajoute une couche supplémentaire autour de la résilience opérationnelle numérique, avec des exigences spécifiques sur les tests de résilience, la gestion des risques tiers et le partage d’informations sur les menaces.
Pénurie structurelle, pression réglementaire, burn-out silencieux : bienvenue dans le recrutement le plus inconfortable de votre carrière.
Soyons directs : si vous êtes en train de recruter un Chief Information Security Officer, vous n’êtes pas en train de faire un recrutement executive comme les autres. Vous êtes en train de résoudre une équation avec trop d’inconnues, trop peu de candidats valables, et un contexte réglementaire qui s’est chargé de rendre le tout encore plus urgent qu’il y a dix-huit mois.
Le marché des CISO est peut-être le plus tendu de tout l’écosystème IT en France. Et contrairement à ce qu’on pourrait espérer, la situation ne s’améliore pas. Elle empire — méthodiquement, structurellement, sans signe de retournement à court terme.
Voilà ce que vous devez comprendre avant de lancer votre recherche.
Un poste à la croisée de toutes les tensions — et de toutes les responsabilités
Le CISO occupe aujourd’hui une position que l’on pourrait qualifier, sans exagérer, d’institutionnellement inconfortable. On lui demande de maîtriser les architectures techniques et les outils de détection. De connaître le droit applicable en cas de violation de données. De piloter des équipes sous pression permanente. De convaincre des directions métier dont la cybersécurité est, au mieux, une contrainte acceptable, au pire, un sujet dont elles préfèrent ne pas entendre parler.
Et quand la cyberattaque survient — et la question n’est plus si, mais quand — c’est lui qui gère la crise, qui communique vers l’extérieur, qui prend des décisions critiques avec des informations incomplètes, et qui assume la responsabilité publique de ce qui s’est passé.
On confie à une seule personne des compétences qui, dans n’importe quelle autre fonction, se répartissent entre plusieurs dirigeants. Et on lui demande de les exercer dans un état de vigilance qui ne connaît ni week-end ni vacances sereinement vécues.
Sur le terrain, dans les missions que nous menons chez Kalyptus, le schéma le plus courant n’est pas la création de poste : c’est le remplacement d’un responsable sécurité jugé insuffisamment complet, avec l’ambition d’élever le niveau de maturité global de l’organisation. Au-delà de l’expertise technique, ce que les dirigeants cherchent avant tout, c’est un leader capable d’installer une vraie culture de la sécurité — pas quelqu’un qui parle aux ingénieurs, mais quelqu’un qui convainc les métiers et fait remonter la cybersécurité au rang d’enjeu stratégique partagé.
NIS2, DORA et la mécanique implacable de la demande
La directive NIS2 a fait quelque chose de simple et de dévastateur pour le marché : elle a considérablement élargi le périmètre des organisations soumises à des obligations renforcées de cybersécurité. Là où NIS1 ne concernait qu’un nombre limité d’opérateurs, NIS2 s’étend à plusieurs milliers d’organisations supplémentaires en France — santé, transport, énergie, administrations publiques, et une part significative du secteur privé.
Pour chacune d’elles, NIS2 impose des exigences précises : gouvernance de la sécurité, gestion des risques, notification des incidents dans des délais très courts, sécurité de la chaîne d’approvisionnement, plans de continuité. Autant d’obligations qui présupposent une fonction CISO structurée — que beaucoup de ces organisations n’ont tout simplement pas.
Dans le secteur financier, DORA ajoute une couche supplémentaire autour de la résilience opérationnelle numérique, avec des exigences spécifiques sur les tests de résilience, la gestion des risques tiers et le partage d’informations sur les menaces.