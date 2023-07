Face à une évolution très rapide des menaces cyber, portées par le développement rapide de l’intelligence artificielle et du machine learning, les responsables de la sécurité du système d’information (RSSI) restent sous pression.

Un tiers d’entre eux s’inquiètent de la recrudescence des risques géopolitiques, et un sur cinq de l’accélération du rythme des cyberattaques à l’avenir, constate l’étude CISO 2023 du cabinet de conseil en leadership Heidrick & Struggles, dévoilée ce jeudi 6 juillet. Elle se fonde sur le témoignage de 163 RSSI de grandes entreprises mondiales.

Dans ce contexte, 71% des RSSI interrogés disent connaître un stress très important, contre 59% l’an dernier. Ils sont même 54% à évoquer un risque de burn out, contre 48% en 2022. Près d’un tiers craignent d’être licenciés en cas de cyberattaque non parée. Un «sentiment d’urgence et de vulnérabilité» dû à la faiblesse des équipes dédiées à la cybersécurité (moins de 25 personnes dans 31% des cas) et à l’importance de cette fonction pour la direction de l’entreprise.

En effet, comment s’inscrit le RSSI dans l’organisation de l’entreprise ? Encore 36% relèvent directement du directeur des systèmes d’information (DSI), et «très peu de RSSI siègent dans les comex en France, même si cette tendance s’accélère dans les pays anglo-saxons, constate Frédéric Groussolles, associé de la practice global technology & services d’Heidrick & Struggles à Paris. Le RSSI ‘rapporte’ au DSI, qui parfois est au comex». Dans la moitié du CAC 40, un profil «tech» (CIO/CDO) siège au comex et porte donc aussi les sujets de cybersécurité.

A lire aussi:

Les RSSI ont leur place dans les conseils d’administration

En revanche, plus de la moitié (59%) des RSSI interagissent directement avec le conseil d’administration de l’entreprise, et les trois quarts (77%) avec un comité dédié du conseil, au moins une fois par an, voire tous les trimestres. «Les RSSI échangent avec le comité de direction et avec le conseil d’administration, en particulier le comité des risques, nuance Claire Dutilleul, principal de la practice global technology & services d’Heidrick & Struggles à Paris. Notamment à l’occasion des travaux menés pour faire face aux attaques.»

Signe de l’importance de leur fonction, un tiers (30%) des RSSI interrogés siègent dans un conseil d’administration, le plus souvent en dehors de leur société, contre 14% en 2022. «Une tendance qui va s’accélérer», anticipe Frédéric Groussolles. L’immense majorité (82%) des RSSI estiment bénéficier d’un soutien suffisant pour mener à bien leur mission, et 74%, avoir une capacité d’interaction suffisante avec les administrateurs. La pression des régulateurs monte aussi. Aux Etats-Unis, «la Securities and Exchange Commission (SEC) pourrait demander aux entreprises de justifier de la présence d’un administrateur avec une expertise cyber au sein du conseil», ajoute Frédéric Groussolles.

A lire aussi:

Ils pourraient prétendre un jour à la direction générale

Toutefois, encore 41% des RSSI déclarent qu’il n’existe pas de plan de succession pour leur fonction, notamment d’identification des candidats en interne. Et ils sont même 13% à déclarer que leur entreprise ne compte pas le faire. Or, «toute entreprise bien gérée doit préparer la succession de chaque poste clé», rappelle Claire Dutilleul. Les plans de succession des RSSI sont encore rares. «C’est inquiétant, reconnaît Frédéric Groussolles. Il est essentiel d’anticiper, en regardant les potentiels internes et en mettant en place des plans de recrutement externe si nécessaire.»

Le défi de la succession est d’autant plus important que le RSSI reste en poste en moyenne quatre ans. Il occupe ensuite un rôle de responsable informatique (CIO) ou technique (CTO). Les RSSI ambitionnent de devenir directeurs de la sécurité (41%), des systèmes d’information (20%) ou encore de la technologie (19%), selon l’étude. «Avec la montée des profils de CIO au niveau du comex et le poids pris par la technologie dans la stratégie des entreprises, un jeune RSSI pourrait prétendre un jour à la direction générale», anticipe Frédéric Groussolles.

A lire aussi:

Des profils de plus en plus rares, donc chers

Au regard de la complexité du poste, de son exposition, «les profils sont rares, et même de plus en plus rares. Les RSSI doivent savoir aussi bien communiquer avec le comité de direction et le conseil d’administration qu’avec l’extérieur, en particulier en cas de cyberattaque, explique Frédéric Groussolles. Les candidats potentiels proviennent du monde des infrastructures technologiques, de la sphère publique de la cybersécurité (armées, Anssi…) ou des Gafam». Le positionnement du poste dans l’organisation, la taille de l’équipe et la rémunération seront des facteurs déterminants pour attirer des talents.

D’ailleurs, face à la forte demande, les rémunérations des RSSI bondissent, atteignant une médiane de 457.000 dollars en Europe, contre 620.000 dollars, et même 1,1 million de dollars avec la rémunération de long terme aux Etats-Unis. Les plus hauts sont atteints en banque-assurance. La plupart (81%) opèrent sur le monde entier. En raison de son rôle, «au carrefour de plusieurs métiers, et de la pression du poste, le RSSI est difficile à recruter, explique Frédéric Groussolles. Ce qui explique une flambée des salaires aux Etats-Unis, qui devrait avoir un effet domino sur le Royaume-Uni puis sur la France».

Prendre des risques calculés et non les supprimer

Le rôle du RSSI évolue. «Autrefois, la direction attendait de lui qu’il réduise, voire supprime les risques, explique Claire Dutilleul. Désormais, il est perçu comme un véritable partenaire des métiers, avec pour objectif d’aider chaque ligne d’activité à prendre des risques calculés permettant d’optimiser la performance, et non de les supprimer à tout prix. Une vraie révolution, qui nécessite d’avoir des profils de RSSI ne se limitant pas à une compétence technique, mais comprenant aussi les enjeux métiers et ayant développé de grandes qualités relationnelles, un pouvoir d’influence et une excellente communication.»

Les secteurs les plus exposés, comme la banque, l’assurance ou encore l’énergie et les télécoms, «sont les plus avancés sur ces questions de sécurité, note Claire Dutilleul. En revanche, certaines industries, notamment la santé et le secteur industriel, sont très en retard».

Cette profession reste très masculine, avec seulement 10% de femmes RSSI. «Le vivier de talents compte très peu de femmes, mais celles qui occupent ce poste sont exceptionnelles, reconnaît Frédéric Groussolles. Nous avons besoin de créer des rôles modèles pour attirer des profils féminins sur ces métiers.» La fonction de RSSI nécessite «d’être disponible en permanence et de gérer une très forte pression, exigences pour lesquelles les nouvelles générations de femmes sont mieux préparées», conclut Cécile Dutilleul.