Différentes études mettent en avant les risques de burn-out dans la cybersécurité. La dernière étude du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), menée auprès de 390 de ses membres, semble indiquer que les risques de dépression sont assez faibles.
En tous les cas pour les responsables cyber et RSSI dont la satisfaction professionnelle des RSSI est élevée, avec 84 % d’entre eux se déclarant satisfaits de leur travail. Ils étaient 20 % en 2021 à juger leur niveau de satisfaction élevé ils sont 25 % en 2024. Les principaux facteurs de motivation sont la transversalité de la fonction (76 %) et la diversité des sujets traités (73 %).
Soutien du top management
Cette satisfaction s’explique notamment par le fait que ces professionnels — qui ont en moyenne plus de 10 ans d’expérience dans le domaine — bénéficient d’une grande autonomie, notamment en matière de budget et de choix des solutions de cybersécurité. Les RSSI sont soutenus par le top management, 83 % expriment un soutien suffisant, 33 % confirment même un soutien très important.
Cette nouvelle édition portant sur la rémunération, on apprend que le salaire annuel fixe moyen des RSSI (8 % de femmes contre 5 % en 2021) est de 96 543 €, en hausse par rapport à 2020 où il était de 88 342 €. Un tiers des RSSI déclare plus de 105 000 € de salaire fixe. La rémunération moyenne des 10 % des salaires les plus bas est de 51 534 € et les plus élevés de 171 809 €.
Près de 40 % estiment que leur rémunération est insuffisante comparée à d’autres fonctions de l’entreprise. Les autres se déclarent satisfaits de leur rémunération globale, avec 71 % ayant reçu une part variable en 2023. 66 % bénéficient d’avantages supplémentaires comme l’intéressement pour 55 % d’entre eux, une voiture de fonction pour 19 %, ou encore d’autres bonus (16 %). Côté responsabilités managériales, elles varient selon les organisations. Elles s’exercent en hiérarchique et/ou en fonctionnel.
85 % des responsables cyber encadrent des équipes, entre 13 et 20 personnes en moyenne. La majorité des responsables cyber (77 %) sont rattachés directement au directeur de leur entité, principalement la DSI (54 %) ou la Direction Générale (20 %), 50 % d’entre eux sont au niveau N-2 de la Direction Générale.
Leurs activités principales sont : les analyses de risques (92 %), les politiques de sécurité (89 %), la sensibilisation (86 %) et la sécurité offensive, tels que les audits, pentests, red teams, bug bounties… (80 %). Ces quatre pôles sont communs à plus de 80 % d’entre eux. Concernant les activités de pilotage, trois responsables cyber sur quatre sont en charge de la veille, la stratégie, la roadmap, le budget et le reporting stratégique. Deux sur trois décident des solutions cyber, pilotent leur intégration et les opèrent,
les autres y contribuent.
Changer d’employeur
Autrefois, le risque IT était géré séparément du risque cyber, dorénavant l’ensemble des responsables cyber participe à la gestion des risques IT, 60 % en sont d’ailleurs responsables. Tous intègrent la sécurité dans les projets et gèrent les risques liés aux tiers, 67 % pilotent ces activités. 84 % contribuent largement à la sécurité des architectures tandis que 31 % en sont responsables.Tous participent à la gestion des crises cyber, 74 % en sont responsables. Environ 80 % gèrent ou contribuent à la sécurité opérationnelle (SOC, CERT,…), 60 % en sont responsables. Enfin, 84 % des responsables cyber contribuent aux plans de continuité d’activité, et un responsable cyber sur 3 en est responsable. 80 % conduisent ou sont impliqués dans la gestion des identités, et 38 % en assument la responsabilité et la mise en œuvre. Malgré des conditions de travail qui sont satisfaisantes, deux tiers des responsables cyber envisagent d’évoluer dans une autre entreprise, plutôt que dans leur propre structure.
