Une majorité de 98 % des RSSI interrogés dans le cadre du rapport annuel Splunk/Cisco citent le volume élevé d'alertes comme source principale de stress au sein de leurs équipes, 94 % pointent les fausses alertes et 79 % le nombre d'outils à gérer simultanément. Derrière ces chiffres, près des deux tiers des RSSI perçoivent un épuisement professionnel modéré ou significatif au sein de leurs équipes, dans un contexte où le rôle s'est nettement complexifié pour près de quatre RSSI sur cinq.
L'environnement opérationnel des équipes sécurité s'est durci sur plusieurs dimensions simultanées. Le volume des événements à traiter augmente, la sophistication des attaques s'intensifie. Quatre-vingt-quinze pour cent des RSSI la citent comme risque numéro un, et les responsabilités des RSSI eux-mêmes se sont étendues bien au-delà du périmètre technique traditionnel. C’est le constat alarmant que le rapport pour les RSSI 2026 décrit. Une réalité que les directions générales sous-estiment, car la quasi-totalité des répondants déclare désormais assumer la gouvernance et la gestion des risques liés à l'IA, et 85 % supervisent également le développement sécurisé de logiciels dans le cadre d'une démarche DevSecOps. Cette extension du périmètre sans augmentation proportionnelle des effectifs crée les conditions de l'épuisement.
L'IA agentique est déployée pour absorber une partie de cette charge, mais elle ne résout pas la question de fond, celle de la rétention des compétences humaines que les RSSI placent explicitement avant la technologie.
Le volume élevé d'alertes n'est pas une nouveauté dans les SOC, c'est sa persistance et son aggravation qui constituent le signal d'alarme du rapport. Pas moins de 98 % des RSSI le citent comme source de stress opérationnel, un taux qui traduit une saturation quasi universelle des capacités de traitement humain. La conséquence directe est connue : face à un flux d'alertes ingérable, les analystes développent des stratégies d'adaptation, priorisation par heuristique, désensibilisation aux signaux répétitifs, raccourcissement des cycles d'investigation, qui dégradent la qualité de la détection sans que les métriques de performance le reflètent nécessairement.
Une surcharge d'alertes qui érode la capacité d'analyse
Les fausses alertes amplifient ce mécanisme. Citées par 94 % des répondants, elles consomment du temps d'analyse sur des événements sans valeur, épuisent l'attention des équipes et érodent la confiance dans les outils de détection. Cette défiance instrumentale a un effet de second ordre : les analystes expérimentés, dont la valeur réside précisément dans leur capacité à discriminer le signal du bruit, sont les premiers à quitter des environnements où leurs compétences sont mobilisées sur des tâches répétitives à faible valeur ajoutée. « Constamment plongés au cœur de la tempête, les RSSI doivent composer avec une transformation constante, affirtme Michael Fanning, RSSI de Splunk. L'expansion de cette mission s'accompagne d'un niveau inouï de pression et de responsabilité personnelle. »
La fragmentation des outils constitue le troisième facteur de stress opérationnel, cité par 79 % des répondants. La multiplication des consoles, des formats de données et des workflows d'investigation contraint les analystes à des changements de contexte permanents qui fragmentent la concentration et allongent les temps de traitement. Les RSSI répondent à ce problème en rassemblant les données de sécurité au sein d'une vue unique — une convergence vers des plateformes intégrées qui réduit la charge cognitive sans éliminer la pression sur les volumes.
RSSI, la responsabilité légale pèse sur la rétention des profils seniors
Le rapport aborde une évolution significative sur la question de la responsabilité individuelle. Plus des trois quarts des RSSI s'inquiètent désormais de leur propre mise en cause personnelle en cas d'incident de sécurité — un chiffre en forte hausse par rapport à l'édition précédente, où cette crainte n'était exprimée que par un peu plus de la moitié des répondants. Cette progression modifie les conditions d'attractivité du poste de RSSI et pèse directement sur la rétention des profils les plus expérimentés, précisément ceux que les organisations ont le plus de mal à remplacer.
L'extension du périmètre de responsabilité vers la gouvernance des risques IA accentue cette dynamique. La quasi-totalité des RSSI interrogés déclarent assumer cette responsabilité, souvent sans que les moyens associés aient été redimensionnés en conséquence. Le RSSI devient ainsi le point de convergence de risques technologiques, réglementaires et organisationnels dont il ne maîtrise pas tous les leviers — une position qui génère une pression structurelle difficile à compenser par des ajustements salariaux seuls.
Les obstacles au partage des données entre services renforcent encore cette fragilité. 91 % des RSSI citent les inquiétudes liées à la confidentialité des données comme frein principal, 76 % les coûts de stockage élevés et 70 % l'absence de vues communes sur les données. Ces frictions organisationnelles contraignent les équipes sécurité à travailler en visibilité partielle, ce qui allonge les investigations, multiplie les angles morts et augmente la charge mentale des analystes chargés de reconstituer des contextes d'attaque fragmentés.
Le capital humain en première ligne
L'IA agentique produit des résultats mesurables sur la charge opérationnelle. Parmi les RSSI ayant partiellement ou totalement adopté cette technologie, 39 % constatent une augmentation significative de la vitesse de signalement de leurs équipes — un taux deux fois supérieur à celui des RSSI encore en phase d'étude (18 %). 92 % déclarent que l'IA permet à leurs équipes d'examiner davantage d'événements de sécurité, et 89 % signalent une amélioration de la corrélation des données. Ces gains sont réels et documentés.
Ils ne suffisent pourtant pas à modifier la hiérarchie des priorités des RSSI en matière de rétention. Face aux lacunes de compétences, leurs principales stratégies restent le développement des compétences des effectifs actuels, le recrutement de nouveaux employés à temps plein et le recours à des sous-traitants — dans cet ordre. Cette séquence reflète une conviction explicite : l'intelligence et la créativité humaines demeurent les outils les plus puissants de la sécurité, en particulier pour les tâches nuancées comme le threat hunting, où la capacité à raisonner sur des signaux faibles et des comportements atypiques ne se délègue pas à un modèle automatisé.
82 % des RSSI estiment que l'IA agentique augmentera la quantité de données examinées et accélérera la corrélation et la réponse. Mais 86 % craignent simultanément qu'elle ne rende les attaques d'ingénierie sociale plus sophistiquées, et 82 % s'inquiètent de son impact sur la vitesse de déploiement des mécanismes de persistance. L'IA est donc perçue comme un amplificateur symétrique — elle augmente les capacités défensives et offensives dans les mêmes proportions — ce qui ne réduit pas la pression sur les équipes, mais la déplace vers des niveaux de complexité supérieurs où l'expertise humaine reste irremplaçable.
Le partage des responsabilités, facteur de résilience
Le rapport identifie un levier de résilience souvent sous-estimé dans les stratégies de rétention : la collaboration au sein de la direction. Le partage des responsabilités est cité comme principal facteur de succès pour les grandes initiatives de sécurité par 62 % des répondants, pour le budget et le financement par 55 %, et pour l'accès aux données de sécurité utiles par 49 %. Ces chiffres traduisent une réalité opérationnelle précise : les équipes sécurité qui fonctionnent en silo subissent une charge disproportionnée, tandis que celles qui bénéficient d'un portage collectif des enjeux par la direction générale disposent de conditions de travail structurellement moins dégradées.
Pour les RSSI, traduire la valeur de la cybersécurité en résultats métiers mesurables devient ainsi un impératif de rétention autant que de gouvernance. La réduction des incidents, l'amélioration du MTTD et du MTTR sont les indicateurs privilégiés pour communiquer le ROI sécurité à la direction — non pas parce qu'ils capturent intégralement la valeur produite, mais parce qu'ils permettent d'ancrer la sécurité dans le langage des résultats opérationnels que les directions générales utilisent pour arbitrer les ressources. Un RSSI capable de démontrer que son équipe protège la continuité d'activité et réduit l'exposition financière obtient plus facilement les moyens humains nécessaires pour prévenir l'épuisement que celui qui reste cantonné à un reporting technique. La rétention des talents commence dans la salle du board.
