RSSI/CISO : des missions et une rémunération en croissance

Après des études similaires en 2017 et 2021, Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a publié une nouvelle édition de son enquête sur la rémunération et le positionnement des responsables cybersécurité (RSSI/CISO…) réalisée en collaboration avec l’Institut OpinionWay. Le positionnement a été défini en fonction d’un référentiel de type RACI (A : Accountable, qui porte la responsabilité sur l’activité ; R : Responsible, qui réalise l’activité ; C : Contributeur à l’activité ; I : Informé sur l’activité ou « hors du champ des activités »). Bien entendu, les rémunérations et les définitions de tâches connaissent une certaine variabilité entre les organisations avec des différences notables entre structures notamment en fonction des tailles de celles-ci. Il y a une certaine unanimité sur le fait que les RSSI/CISO subissent une hausse notable de leur activité depuis cinq ans. L’association et les répondants étant français, « près de 40 % estiment que leur rémunération est insuffisante comparée à d’autres fonctions de l’entreprise ».

Sans surprise, le rôle du responsable cybersécurité va aujourd’hui le plus souvent bien au-delà de l’installation de quelques solutions techniques dans un contexte général de cybermenaces croissantes, même si 64 % des répondants demeurent avec une responsabilité avant tout opérationnelle. 73 % ont ainsi la responsabilité de la gestion des risques de cyber-sécurité, 60 % de l’ensemble des risques IT, 31 % des risques associés à l’architecture IT. Les fondamentaux demeurent cependant constants : 92 % sont responsables des analyses de risques (92 %), 89 % des politiques de sécurité, 86 % de la sensibilisation et 80 % de la sécurité offensive (audits, pentests, red teams, bug bounties…). 80 % ont dans leur périmètre l’ensemble de ces activités. 67 % pilotent la gestion des risques liés aux tiers dans les projets, tous devant s’en occuper à un niveau ou un autre. La gestion des crises cyber est évidemment une tâche commune à tous les RSSI/CISO mais 74 % seulement en sont responsables. 80 % gèrent ou contribuent à la sécurité opérationnelle (SOC, CERT,…), 60 % en sont responsables. A l’inverse, la lutte contre la fraude ou la question de la conformité réglementaire échappent à la majorité des RSSI/CISO.

Un profil encore très masculin qui est proche de la direction générale

77 % des RSSI/CISO sont rattachés à un directeur d’entité (54 % à la DSI, 50 % en N-2 par rapport à la direction générale) et 20 % directement à la direction générale. 85 % encadrent des équipes, en général entre 13 et 20 personnes. La seniorité semble nécessaire pour exercer des fonctions de RSSI/CISO : les 35-49 % représentent 52 %, les 50-64 ans 37 %. Environ 10 % ont donc moins de 35 ans. 56 % ont plus de dix ans d’expérience. 75 % ont au moins un Bac+5, 58 % un diplôme d’ingénieur, 81 % sont informaticiens de formation et 30 % issus de formations spécialisées en cybersécurité. La gestion du risque liée au RSSI lui-même est négligée : 11 % seulement des organisations disposent ou sont en train d’élaborer un plan de succession ou de remplacement en cas de maladie, accident ou départ volontaire. Si 10 % des membres du CESIN sont des femmes, la proportion de femmes RSSI/CISO demeure faible même si elle s’accroît : 5 % en 2021, 8 % aujourd’hui.

84 % des RSSI/CISO se déclarent satisfaits de leur travail et 25 % ont un niveau de satisfaction élevé (20 % en 2021). 83 % se réjouissent de bénéficier d’un soutien suffisant de leur direction, 33 % reconnaissant même un soutien très important. Parmi les critères de cette satisfaction, la transversalité de la fonction (76 % des répondants) et la diversité des sujets traités (73 %) sont en premier. Malgré tout, 66 % envisagent de changer d’organisation (24 % sont certains de le faire) pour accroître leur périmètre et leur rémunération. Le salaire annuel fixe moyen des RSSI en 2024 est de 96 543 euros (88 342 euros en 2020, soit +9,28 % en quatre ans), 71 % ayant reçu une part variable en 2023, 66 % bénéficiant d’avantages supplémentaires comme l’intéressement (55 %), une voiture de fonction (19 %) ou divers bonus (16 %). Les disparités sont importantes : un tiers reçoit ainsi un fixe de 105 000 euros, les 10 % les moins payés émargeant en moyenne à 51 534 euros contre 171 809 pour les 10 % les mieux payés, la taille de l’entreprise étant le premier critère de cette disparité.