Les responsables sécurité, stressés et des postes en évolution

Les RSSI (Responsables de la sécurité des systèmes d’information) ne sont plus les seuls à intervenir sur le périmètre de la sécurité informatique et digitale de l’entreprisse. On observe désormais la création du poste de Directeur de la cyber sécurité.

Le directeur de la cyber sécurité intervient sur la sécurité de ce qui est vendu aux clients

Ce directeur cyber porte des responsabilités hors du périmètre du RSSI. Le premier exemple est la sécurité des produits réalisés ou vendus par l’organisation. Dans de nombreux cas de figure, le RSSI n’agissait que sur les systèmes d’information utilisés en interne. Les directeurs de la cyber sécurité ont un périmètre très large, incluant l’ensemble des activités du groupe, et donc bien souvent la sécurité de ce qui est vendu aux clients.

Quant au RSSI, c’est un responsable sous pression qui doit collaborer et dépend de nombreux autres services dans l’entreprise afin de remplir son rôle, la Direction des systèmes d’information (DSI), les ressources humaines (RH), la direction des achats, la direction juridique et les entités métiers.

Lors d’une enquête publiée en septembre 2021, les responsables de la sécurité annonçaient des rémunérations élevées interrogés par l’institut OpinionWay pour le Le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin). Cependant une majorité de sondés montrait un sentiment de non-valorisation du travail effectué et de leur implication dans l’entreprise. Beaucoup estimaient ne pas être assez rémunérés par rapport à leur niveau de responsabilités.

Un niveau élevé de stress chez les responsables sécurité

Une autre étude publiée mi juin 2022, montrait que les responsables en cyber sécurité sont soumis à un niveau élevé de stress. L’enquête porte sur un échantillon de 330 répondants, dont 60% de RSSI (responsables sécurité des systèmes d’information) et 20% de Directeurs Cyber sécurité., tous membres du Cesin.

Pour 2 répondants sur 3, le niveau de stress est élevé, et particulièrement à risque pour 28% du total, avec des risques de « burnout ». Parmi les facteurs les plus contributifs du stress, on trouve le contexte d’adversité, la difficulté à se déconnecter, la relation à la responsabilité et la culpabilité et le sentiment d’incertitude et d’imprévu au quotidien. À cela s’ajoutent les évolutions permanentes de la fonction et de son contexte.

Les personnes les plus touchées par le stress éprouvent un sentiment d’impuissance et de découragement devant la puissance des attaques cyber. La majorité des répondants estime qu’un incident majeur pourrait leur faire perdre leur poste. 52% des répondants se sentent en permanence sur le qui-vive. Pire, près d’un quart des répondants n’arrivent pas à se faire aux aléas et aux imprévus du métier. 28% se sentent découragés devant l’augmentation de la fréquence et de la puissance des cyber attaques. Tout cela alors que 47% des répondants se sentent encore incompris, voire jugés parfois excessifs.

Un salaire médian de 89 200 € annuel

Selon l’étude publiée en septembre 2021, le salaire annuel moyen, part variable comprise, pour un poste de responsable en cyber sécurité s’élève à 95 800 €. Le salaire médian est de 89 200€. Il faut souligner une rémunération  supérieure à 100 000€ pour près de la moitié du panel (43%) des responsables sécurité interrogés. Le sondage porte sur un échantillon de 290 répondants membres du Cesin, Directeurs Cyber sécurité et Responsables Sécurité des Systèmes d’Information (RSSI), issus pour 49% de PME, PMI et ETI et pour 51% de grandes entreprises, tous secteurs d’activité. 

L’enquête indique que le salaire moyen est évolutif, selon certains critères, en particulier l’expérience métier, la taille de l’entreprise, ou le secteur d’activité. La localisation est aussi un paramètre fort, puisque les RSSI dont les postes sont basés en Ile-de-France ont une rémunération largement supérieure à celles des autres régions.

Le RSSI est plutôt un homme (95%) mûr, informaticien, dont l’âge se situe entre 35 ans et 49 ans pour 56% d’entre eux, et 50-64 ans pour 36%. Le nombre d’années d’études est élevé. 77% des répondants possèdent un BAC+5, 44% ont suivi un cursus en école d’ingénieur, 81% ont fait des études informatiques et 30% ont suivi un cursus en sécurité informatique.

Un rattachement du RSSI le plus souvent au DSI

Le plus souvent, le RSSI dépend du Directeur Informatique (56% des réponses). Pour 23% il dépend de la Direction Générale. Le Cesin estime que cette tendance est en augmentation à cause de la prise de conscience des dirigeants des problématiques de cyber sécurité. L’emploi de RSSI est plutôt stable, puisque 40% des RSSI occupent un poste dans la même entreprise depuis plus de 5 ans, 31% exercent ce métier depuis plus de 10 ans. Une majorité des répondants occupent des responsabilités managériales (73%), le périmètre d’action est global pour 80% des RSSI, dont le rôle porte tant au niveau international (53%) que régional et national (47%).

Près de 2 RSSI sur 3 sont satisfaits de leur rémunération actuelle. La satisfaction monte à 81% pour les profils issus du secteur de l’industrie, dont le niveau de rémunération est plus élevé que dans les autres secteurs. Cependant une forte majorité (59%) de sondés ont un sentiment de non-valorisation du travail effectué et de leur implication dans l’entreprise. Ainsi,  52% des RSSI estiment ne pas être suffisamment rémunérés par rapport à leur engagement dans l’entreprise et 54% par rapport à leur niveau de responsabilités.

Pour autant, 83% des répondants sont satisfaits de leur travail actuel. La rémunération est la deuxième source de motivation professionnelle pour 45% des profils interrogés, derrière la diversité des sujets à traiter (57%). La rémunération sera toutefois le premier critère qui vient  inciter le changement de poste pour la quasi-totalité (88%) des RSSI.