Enquête : Le rôle de RSSI évolue si vite que les salaires ont du mal à suivre

Une enquête menée auprès de 830 RSSI révèle que nombre d’entre eux, pour le meilleur ou pour le pire, assument davantage de responsabilités sans nécessairement recevoir de compensation supplémentaire.

Menée par IANS Research et Artico Search, un cabinet de recrutement de cadres, l’enquête révèle que jusqu’à un quart des répondants ont assumé la responsabilité, par exemple, des opérations informatiques, de la gestion du changement, de la gouvernance des données, de l’intelligence artificielle (IA) ou de la transformation numérique des entreprises. Au total, 15 % des personnes interrogées ont indiqué que leur entreprise dispose désormais d’un poste combiné de RSSI/DSI.

Cependant, les augmentations de salaire dues à l’acceptation de responsabilités supplémentaires sont rares. Seuls 3 % des RSSI ont attribué leur augmentation de salaire la plus récente à l’acceptation de rôles plus importants, avec une croissance salariale moyenne de 13 %. En comparaison, la majorité des RSSI (70 %) ont indiqué que leurs augmentations étaient des augmentations annuelles au mérite, d’une moyenne de 6 %.

Dans l’ensemble, 39 % des répondants ont un titre de niveau exécutif, et un peu moins de la moitié des répondants (47 %) déclarent interagir avec le conseil d’administration de leur entreprise mensuellement ou trimestriellement.

Bien que les RSSI ne voient pas leur salaire augmenter à mesure qu’ils assument plus de responsabilités, la tendance elle-même est déjà inexorable. Alors que de plus en plus d’entreprises se rendent compte que les problèmes de cybersécurité doivent être pris en compte dans tous les processus métier, elles élargissent la portée de la définition du poste de RSSI. Cela peut générer des sentiments contradictoires chez ces derniers, mais si l’alternative est de ne pas être inclus dans les décisions plus larges ayant un impact sur la cybersécurité, il n’y a qu’une seule véritable option. De fait, la clé du succès pour un RSSI aujourd’hui réside dans une implication maximale au sein des flux de travail de l’entreprise, plutôt que dans l’ajout de mesures de cybersécurité a posteriori.

Le défi, bien sûr, est qu’à mesure que les cyberattaques augmentent en volume et en sophistication, de nombreux RSSI cherchent à allouer davantage de ressources à l’analyse des menaces. L’un des moyens d’atteindre cet objectif est de transférer davantage de responsabilités pour la gestion des opérations de sécurité (SecOps), telles que la mise à jour des firewalls, à une équipe informatique. Cependant, avec l’accélération de cette convergence, il est probable que la direction de l’entreprise débattra bientôt de l’opportunité de fusionner les postes de DSI et de RSSI.

Aussi tentant que cela puisse être financièrement, la convergence de ces rôles peut facilement mener à une situation où il n’existe aucun examen indépendant de cybersécurité des processus informatiques employés. En effet, l’équipe informatique finit par protéger la petite structure qu’elle a construit avec soin, plutôt que de s’appuyer davantage sur l’avis d’un tiers pour évaluer la véritable robustesse de la sécurité appliquée.

Chaque entreprise devra déterminer elle-même le niveau de compromis qu’elle est prête à accepter, mais il n’y a pas de solution miracle. Il sera toujours nécessaire de veiller à ce que les fonds budgétaires alloués à la cybersécurité soient dépensés aussi efficacement que possible, mais il arrive inévitablement un moment où l’on ne peut plus rogner sans dégrader fortement la sécurité. En fait, compte tenu du coût total potentiel d’une atteinte à la cybersécurité, dépenser moins pour la cybersécurité peut facilement s’avérer être un autre exemple d’économie de bouts de chandelle. Le véritable enjeu, comme toujours, est de veiller à ce que la cybersécurité soit profondément intégrée de manière à réduire au strict minimum possible le nombre réel d’incidents de cybersécurité rencontrés.