Les RSSI prennent la porte

Le poste de responsable de la sécurité de l'information (RSSI) a toujours été l'un des plus stressants dans le secteur informatique. Ce stress empire à mesure que les responsabilités civiles et pénales liées aux incidents de sécurité se multiplient. Une enquête menée par IANS Research et Artico Search auprès de 600 RSSI révèle qu'un peu plus de la moitié d'entre eux gagnent moins de 400 000 dollars. De nombreux RSSI se demandent si ce travail en vaut la peine.

Seuls 20 % des RSSI gagnent plus de 700 000 dollars par an. Les RSSI ayant une formation technique gagnent en moyenne 700 000 dollars, soit une rémunération totale supérieure d'environ 15 % à celle des RSSI ayant une formation plus axée sur la gouvernance, le risque et la conformité (GRC). Malgré ces salaires mirobolants, trois quarts des personnes interrogées (75 %) ont déclaré qu'elles envisageaient de changer d'emploi au cours des 12 prochains mois. Toutefois, seuls 12 % ont déclaré avoir changé d'emploi au cours des 12 derniers mois.

L'augmentation moyenne de la rémunération totale des RSSI a été de 11 %, soit une légère baisse par rapport aux 14 % de l'année précédente. L'enquête indique également que 20 % des personnes interrogées n'ont pas été augmentées l'année dernière.

Cependant, tous les RSSI ne sont pas des cadres supérieurs. Seul un RSSI sur cinq est un cadre de niveau C, au même titre qu'un DSI ou un directeur financier. 17 % sont des vice-présidents exécutifs (EVP) ou des vice-présidents principaux (SVP), tandis que 22 % sont des vice-présidents.

Le plus grand défi auquel est confronté tout RSSI est d'aligner les contrôles sur le niveau de risque auquel l'entreprise est confrontée. Toutes les applications ne présentent pas le même niveau de risque, il faut donc trouver un équilibre entre la sécurité et la productivité des utilisateurs finaux qui y accèdent. C'est généralement plus facile à dire qu'à faire. Les RSSI doivent expliquer patiemment ce qui pourrait mal tourner aux dirigeants d'entreprise qui pourraient encore décider que la récompense potentielle du lancement d'une nouvelle application l'emporte sur le risque inhérent.

Bien entendu, dès qu'une violation majeure se produit, la première personne que l'on cherche à blâmer est souvent le RSSI. C'est regrettable, car blâmer l'équipe de cybersécurité à chaque fois qu'il y a un incident revient à blâmer les pompiers à chaque fois qu'il y a un incendie. Le service d'incendie, tout comme l'équipe de cybersécurité, est responsable de la maîtrise de la situation. Tout ce que l'un ou l'autre peut faire, c'est proposer une série d'inspections régulières qui, espérons-le, réduiront le nombre d'alarmes susceptibles d'être déclenchées.

Les RSSI doivent être beaucoup plus circonspects quant aux conseils qu'ils donnent, surtout s'ils travaillent pour une société publique où les intérêts des actionnaires seront toujours primordiaux, indépendamment du fait qu'un PDG ou un conseil d'administration a le pouvoir de les licencier. De nombreux RSSI pourraient simplement choisir de limiter le nombre d'organisations pour lesquelles ils sont prêts à travailler à des entreprises privées qui ne sont pas soumises à autant de réglementations. Ceux qui continuent à travailler pour des entreprises publiques devraient consulter régulièrement des avocats qui veillent à leurs intérêts plutôt qu'à ceux des organisations qui les emploient.

Chaque RSSI devra décider pour lui-même si le niveau de stress vaut le salaire qu'il reçoit, et il ne fait aucun doute que beaucoup aimeraient avoir la chance d'accéder à cette fonction.Toutefois, la durée de ce mandat pourrait ne pas être aussi longue que beaucoup d'entre eux le prévoient au départ.