RSSI : une évolution hiérarchique plus que salariale ?

Que faire en cas de départ du responsable cyber ? La plupart des entreprises n'y sont pas préparées, à en croire le CESIN.

Elles sont 11 % à disposer d'un plan de relève, affirme l'association. La source : un sondage mené en mai-juin auprès de 390 de ses membres. Essentiellement des RSSI (68 % de l'échantillon) et des directeurs cybersécurité (25 %). Objectif de l'enquête : évaluer la rémunération et le positionnement organisationnel de ces publics.

Le CESIN avait mené une étude similaire il y a trois ans, avec un panel d'une composition comparable (64 % de RSSI, 22 % de directeurs cybersécurité)*.

Des répondants juniors moins bien rémunérés qu'en 2021

De l'une à l'autre (chiffres 2023 vs 2020), la rémunération moyenne a augmenté d'un peu moins de 1000 euros brut, s'établissant à 96 543 €. La rémunération médiane a connu une hausse du même ordre, avoisinant 90 000 €.

La variation est moins sensible si on jauge les rémunérations en fonction de l'âge. Les moins de 35 ans gagnent en moyenne un peu plus (73k, contre 71k en 2021). Rien n'a changé pour les 35-49 ans (93k) et les 50-64 ans (107k).

Si on considère l'ancienneté dans le métier, la différence est plus nette. Le CESIN n'a cependant pas utilisé les mêmes tranches.
En 2021, les sondés ayant moins de 5 ans d'expérience gagnaient en moyenne 90k ; les 6-15 ans, 96k ; les plus de 15 ans, 117k. Cette année, on est à 71k dans la tranche moins de 5 ans ; à 88k pour les 6-10 ; à 103k pour les 11-20 ; à 118k au-delà.

Malgré les avantages, une certaine insatisfaction

En plus du variable, l'enquête a englobé les avantages supplémentaires. Au global, 66 % y accèdent (54 % dans les structures de moins de 1000 employés). Ils sont 55 % à bénéficier d'intéressement ; 19 %, d'une voiture de fonction ; 16 %, de bonus ; 11 %, d'actions gratuites et/ou de stock-options (montant moyen : 34 138 €).

Quand on les interroge sur la rémunération moyenne du métier cyber par rapport à d'autres fonctions, 38 % des sondés l'estiment insuffisante. Il y a trois ans, ils furent la même proportion à considérer ne pas être assez rémunérés en comparaison de collègues aux responsabilités et niveaux de performance comparables. Le taux dépassait les 50 % si on leur demandait de prendre comme base :

- Leur engagement dans l'entreprise
- Leur périmètre d'activité
- La situation de salariés d'autres entreprises

Des RSSI de moins en moins rattachés à la DSI

Les responsables sécurité apparaissent rattachés à une plus grande diversité de directions qu'il y a trois ans - et plus encore que par le passé, souligne le CESIN. Le DG est souvent leur N-2 (49 % des cas).
Ils ont, en moyenne, la responsabilité hiérarchique de 13 personnes et fonctionnelle de 20 personnes. Près d'un sur six (15 %) gère seul la cybersécurité de son entreprise (3 % seulement dans les structures de plus de 5000 personnes).

Quant à leurs perspectives d'évolution, les responsables sécurité se verraient bien aller principalement vers les postes de CSO (sécurité physique et numérique ; 23 %), CIO (16 %), directeur du risque (12 %) et CTO (7 %).

* À panels distincts, il est évidemment difficile de tirer une conclusion ferme concernant autant la hiérarchie que les rémunérations...

Illustration générée par IA