En l’espace de quelques années, le Responsable de la Sécurité des Systèmes d’Information est passé d’un rôle purement technique, souvent perçu comme un frein aux opérations et à l’innovation, à une fonction stratégique essentielle au cœur de la gouvernance et de la conformité des entreprises. En 2025, les RSSI occupent une place centrale dans les entreprises, mais leur rôle continue d’évoluer dans un contexte où la cybersécurité est devenue une priorité stratégique. Le rapport « The CISO Report 2025 » publié par Splunk met en lumière des tendances marquantes, comme les pressions croissantes liées à la conformité et les débats intenses autour du financement des initiatives de sécurité.
L’un des constats majeurs de cette année est la montée en puissance des RSSI dans la hiérarchie des entreprises. Pas moins de 82 % d’entre eux rapportent désormais directement au CEO, contre seulement 47 % en 2023. Ce changement témoigne d’une reconnaissance accrue du rôle stratégique de la cybersécurité, mais il ne s’accompagne pas toujours d’une compréhension mutuelle avec les conseils d’administration. Si 84 % des membres du conseil d’administration estiment que les RSSI répondent à leurs attentes, seuls 8 % considèrent qu’ils les surpassent réellement. De leur côté, les RSSI perçoivent leur relation avec le « board » de manière plus positive qu’elle ne l’est en réalité, notamment sur des aspects clés comme l’alignement stratégique, la gestion des budgets ou le recrutement de talents en cybersécurité.
La question budgétaire : la pomme de discorde
Selon l’étude, la pression réglementaire devient également un enjeu majeur pour ces responsables. Avec l’entrée en vigueur de réglementations plus strictes comme le règlement NIS 2 en Europe, DORA ou encore les nouvelles exigences de la SEC auxÉtats-Unis, les RSSI se retrouvent en première ligne pour garantir la conformité de leur entreprise. Cette responsabilité accrue a un impact direct sur leur rôle, puisqu’ils sont désormais tenus responsables personnellement en cas d’incident majeur. La situation est d’autant plus critique que 21 % des RSSI déclarent avoir déjà été poussés à ne pas signaler un problème de conformité, un chiffre préoccupant qui souligne les tensions entre impératifs de transparence et pressions internes. Malgré ces difficultés, une majorité d’entre eux (59 %) affirme qu’ils dénonceraient leur organisation si elle venait à ignorer ses obligations réglementaires, illustrant leur engagement à protéger l’intégrité des systèmes et des données.
Si la conformité est un défi de taille, la question des budgets en cybersécurité est un autre point de friction entre RSSI et conseils d’administration, révèle l’étude. Seuls 29 % des RSSI estiment recevoir un budget suffisant pour mener à bien leurs initiatives de sécurité, tandis que 41 % des membres du conseil d’administration jugent que ces budgets sont adéquats. L’étude révèle que ce décalage s’accentue dans un contexte où les cyberattaques sont omniprésentes : 94 % des RSSI déclarent avoir subi une attaque perturbatrice,
et 55 % rapportent avoir été ciblés plusieurs fois au cours des 12 derniers mois. Dans ces circonstances, beaucoup ont dû faire des compromis financiers, allant du report des mises à jour de sécurité à la réduction du nombre d’outils utilisés, en passant par le gel des embauches et des augmentations salariales au sein des équipes de cybersécurité.
Présenter la cybersécurité comme un levier de croissance…
Les conséquences de ces restrictions budgétaires sont loin d’être anodines : 50 % des entreprises ayant réduit leurs dépenses en cybersécurité ont subi une attaque réussie, mettant en évidence les risques liés à un sous-investissement dans la protection des systèmes d’information. Pourtant, convaincre la direction d’augmenter le budget sécurité reste un exercice difficile. Pour surmonter cette barrière, les rédacteurs du rapport préconisent une approche plus stratégique dans leur communication avec le conseil d’administration.Selon le rapport, la méthode la plus efficace consiste à positionner la cybersécurité comme un levier de croissance et non comme un centre de coûts. En effet, 64 % des membres de conseils d’administration se disent plus enclins à débloquer des fonds lorsque la cybersécurité est présentée comme un moteur de développement pour l’entreprise, mais seulement 43 % des RSSI adoptent cette approche.
… et ensuite, démontrer le ROI
Les débats budgétaires sont également influencés par la capacité des RSSI à établir un retour sur investissement démontrable. D’après les répondants, 46 % des conseils d’administration se montrent convaincus par des analyses chiffrées des coûts liés aux interruptions d’activité causées par les cyberattaques. Pourtant, seuls 39 % des RSSI utilisent cet argument dans leurs demandes de financement, laissant une opportunité non exploitée pour obtenir un soutien accru.En 2025, le rôle du CISO n’a jamais été aussi stratégique, mais il repose sur un équilibre délicat entre responsabilités accrues, nécessité d’alignement avec le conseil d’administration et une justification constante des investissements en sécurité. Autrefois cantonné à imposer des restrictions jugées contraignantes par les équipes métiers, le RSSI est désormais un acteur indispensable de la résilience numérique, garant de la continuité des activités, de la conformité réglementaire et de la protection des actifs stratégiques.
Face à la sophistication croissante des cybermenaces, à la pression des régulateurs et à la nécessité d’intégrer la cybersécurité dans la prise de décision, le RSSI s’impose aujourd’hui comme un partenaire incontournable du comité de direction et des conseils d’administration, contribuant directement à la création de valeur et à la compétitivité
de l’entreprise.
