Cybersécurité : qui sont ces RSSI tant convoités ?

Fortement sollicité pour gérer la résilience numérique des organisations, le RSSI de 2024 voit ses responsabilités s’étendre à la fois dans la gestion des risques et dans les décisions stratégiques. Un nouveau rapport du CESIN élaboré avec OpinionWay trace le portrait type du RSSI français en 2024.

Dans un contexte de cybermenaces croissantes, le responsable de la sécurité des systèmes d’information (RSSI) occupe plus que jamais un rôle clé en entreprise. Ces professionnels sont non seulement au centre de la gestion des risques, mais aussi des décisions stratégiques en matière de sécurité numérique.

Avec l’aide d’OpinionWay, le Club des experts de la sécurité de l’information et du numérique (CESIN) a mené, en juin, une enquête auprès de 390 de ses membres afin de mieux cerner le profil et les responsabilités des RSSI en 2024.

Alors, à quoi ressemble le RSSI en 2024 ?

Dans les grandes lignes, il s’agit d’un homme (92 %), expérimenté (56 % possèdent plus de dix ans d’expérience dans le domaine) et résidant en Île-de-France (64 %). En termes de formation initiale, les trois-quarts sont titulaires d’un Bac+5 ou plus, et 58 % ont suivi un cursus d’ingénieur, avec une prédominance notable des informaticiens (81 %) sur les spécialistes de la cybersécurité (30 %).

Comment le rôle évolue-t-il ?

Les RSSI occupent une place de plus en plus centrale dans les entreprises. Ils sont largement impliqués dans les décisions stratégiques, notamment en termes de gestion des risques, de conformité et de résilience. En effet, 73% des responsables cybersécurité considèrent la gestion des risques comme leur mission principale, suivie par les aspects opérationnels (64%).

Bien que 54 % des RSSI soient rattachés à la DSI, un sur cinq (20 %) reporte directement à la direction générale, un nombre en augmentation qui témoigne d’un positionnement de plus en plus proche du sommet de la hiérarchie.

Par ailleurs, 85 % de ces responsables cyber encadrent des équipes comprises, en moyenne, entre 13 et 20 personnes. Un chiffre qui augmente avec la taille de l’entreprise. La pénurie de talents en cybersécurité inquiète toutefois toujours autant. Près de 74% des RSSI déclarent rencontrer des difficultés à recruter, un problème encore plus marqué dans les grandes entreprises (93% pour celles ayant plus de 5000 salariés).

Une autonomie décisionnelle mais pas budgétaire

En termes de budget, 90% des RSSI disposent bien d’un budget pour la cybersécurité, mais seulement 31% d’entre eux ont une autonomie totale sur ce budget, tandis que 40% peuvent orienter les décisions budgétaires sans avoir la gestion complète.

Concernant les solutions et services de cybersécurité, 42% des RSSI sont les décideurs finaux, confirmant leur rôle influent dans les choix technologiques.

Activités, salaire et satisfaction.

Au quotidien, l’analyse de risque, la politique de sécurité, la sensibilisation des collaborateurs et les actions de sécurité offensive (audits, pentests, red teams, bug bounties…) animent les journées et l’agenda des RSSI.

Donnée rassurante s’il en est, 84 % des RSSI se déclarent satisfaits de leur travail. Les principales sources de motivation sont la transversalité de la fonction (76%) et la diversité des sujets à traiter (73%). 

Néanmoins près de 40 % estiment que leur rémunération est insuffisante comparée à d’autres fonctions de l’entreprise. Leur salaire annuel fixe moyen s’élève tout de même à 96 543 € en 2024, en hausse de plus de 9 % par rapport à l’enquête de 2020. Les disparités salariales sont toutefois notables en fonction de la taille de l’entreprise et du secteur d’activité. Les grandes structures offrent des rémunérations plus élevées, mais la frustration reste présente chez une partie des RSSI.

Enfin, en termes d’évolution, les RSSI visent le poste de chief information security officer (CISO) dans une structure plus importante, ou de DSI. Deux tiers des RSSI envisagent d’évoluer dans une autre entreprise, plutôt que dans leur propre structure, en particulier les plus expérimentés.

Dernier enjeu important qui ressort de l’étude, près de 90% des entreprises n’ont pas prévu de plan de succession pour le départ de leur RSSI, ce qui met en lumière un risque potentiel pour la continuité de la gouvernance cybersécurité.

À LIRE AUSSI :

Secu

Des RSSI français plus audacieux, voire progressistes !

Laurent Delattre

25 Juin

À LIRE AUSSI :

Secu

Cybersécurité 2022 : DSI et RSSI balancent entre le ras-le-bol et l’action

Laurent Delattre

4 Août

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !