Pendant des années, le RSSI a été cantonné à un rôle de gardien technique, responsable des pare-feux, des audits de conformité et des plans de réponse à incident. L'essor de l'IA générative et agentique redistribue profondément les cartes. Le RSSI devient un acteur central de la stratégie d'entreprise. Ce déplacement modifie le périmètre de responsabilité, les compétences attendues et la place du RSSI dans les instances dirigeantes.
Deux profils de RSSI coexistent aujourd'hui dans les grandes organisations. Le premier reste ancré dans l'opérationnel : il pilote la résilience technique, mesure l'efficacité des contrôles, gère les métriques de risque et assure la continuité de la protection. Ce profil est indispensable, car il constitue le socle sans lequel aucune ambition stratégique ne tient. Le second profil émerge à mesure que la cybersécurité s'intègre aux grandes décisions d'entreprise. Ce RSSI-là travaille au côté du CIO, du CTO et du conseil d'administration pour articuler les risques cyber en termes d'impact opérationnel, financier et réputationnel, plutôt qu'en termes de vulnérabilités techniques.
Cette bifurcation révèle une transformation structurelle du rôle, accélérée par deux forces convergentes. D'une part, la multiplication des surfaces d'exposition, chaînes d'approvisionnement logicielles, environnements OT hyperconnectés, identités non humaines proliférantes et déploiements d'IA agentique. D'autre part, la pression réglementaire, qui rend les dirigeants personnellement responsables de la gouvernance cyber dans des cadres comme NIS2, DORA ou les législations équivalentes en Amérique du Nord et en Asie-Pacifique.
De gardien de la conformité à l'habilitation
La formulation retenue par John Israel, RSSI global de KPMG International, résume le basculement en cours. Selon lui, le RSSI devient un « Chief Secure Transformation Officer », dont l'objectif est d'intégrer la sécurité si profondément dans les processus métier et les choix technologiques qu'elle accélère l'innovation au lieu de la freiner. Cette vision implique une rupture avec le réflexe de contrôle au profit d'une logique d'habilitation : permettre à l'organisation d'adopter l'IA, le cloud et les nouvelles architectures dans des conditions de risque maîtrisées, plutôt que d'en retarder le déploiement.
Gary Berletti, Deputy Global RSSI de KPMG International, formule cette tension de façon directe. Selon lui, la clé pour gagner en influence auprès du CIO et du CTO n'est pas d'être la police, mais d'habiliter à travers la sécurité pour soutenir la vélocité, l'efficience et la créativité. Ce positionnement suppose que le RSSI maîtrise le langage du risque métier, sache quantifier l'impact financier d'une brèche ou d'un biais de modèle, et construise une relation de confiance avec les fonctions opérationnelles plutôt que de leur opposer des contraintes. Le rapport KPMG 2025 CEO Outlook identifie la cybersécurité et la résilience au risque numérique parmi les principales pressions qui influencent les décisions d'investissement des dirigeants : la cybersécurité sort du périmètre IT pour entrer dans l'agenda du comité exécutif.
L'IA comme levier d'expansion du rôle
Au sein des équipes SOC, les agents IA prennent en charge l'analyse des alertes, la corrélation des événements et la réponse aux incidents à une cadence que les analystes humains ne peuvent pas tenir. Cette automatisation libère les professionnels de la cybersécurité pour des tâches à plus forte valeur ajoutée : analyse de menaces complexes, décisions stratégiques, gouvernance des modèles et des agents. Le rapport KPMG Global tech report 2026 rapporte que 92 % des dirigeants technologiques estiment que la gestion des agents IA deviendra une compétence essentielle dans les cinq prochaines années.
Cette montée en puissance de l'IA dans les opérations de sécurité crée en parallèle de nouveaux risques que le RSSI doit maîtriser. Les agents IA déployés par les organisations peuvent eux-mêmes créer d'autres agents, générer et utiliser des credentials, accéder à des ressources critiques de manière autonome, parfois sans laisser de trace exploitable. La gouvernance de ces identités non humaines représente un angle mort majeur des architectures IAM actuelles, et le RSSI est le seul acteur positionné pour adresser cette complexité de façon transversale, en impliquant les équipes données, risque, juridiques et sécurité.
De nouvelles alliances à nouer
L'élargissement du périmètre RSSI vers l'OT, la gestion des données non structurées et la gouvernance de l'IA appelle une recomposition des alliances internes. Le rapport documente plusieurs mouvements convergents : des RSSI nommés Chief Security Officers avec une autorité étendue sur les domaines physiques et cyber, d'autres siégeant dans des comités consultatifs élargis aux directeurs d'usines et aux responsables d'ingénierie, d'autres encore construisant des ponts systématiques avec le Chief Risk Officer, le Data Privacy Officer et le Chief Data Officer.
Marko Vogel, responsable Cybersécurité et Résilience chez KPMG Germany, pose la condition de cette influence : les RSSI doivent devenir des conseillers métier de confiance, capables de traduire le risque technique en impact matériel sur le business, et d'intégrer la cybersécurité à la résilience. Cette traduction suppose une maîtrise des cycles de produit, des contraintes contractuelles de la chaîne d'approvisionnement et des implications opérationnelles de chaque décision technologique. Pour que le RSSI puisse exercer cette influence, le PDG et les administrateurs doivent affirmer que la cybersécurité est l'affaire de tous. Cela passe par une responsabilisation explicite au niveau exécutif, une culture où les collaborateurs signalent les incidents sans crainte de répercussion, et une intégration de la cyberrésilience dans les indicateurs de performance de l'organisation au même titre que les métriques financières et opérationnelles.
