Évolution rôle RSSI: De pompier à conseiller stratégique

25.06.2025

En bref

L’essentiel en bref

Seuls 20 % des RSSI (responsables de la sécurité des systèmes d’information) rendent directement compte au PDG – les autres sont relégués dans l’organigramme informatique.
La directive NIS2 (Network and Information Security 2) rend les dirigeants d’entreprise personnellement responsables des lacunes en matière de cybersécurité – et rehausse considérablement le rôle du RSSI. (Contexte DACH : cette directive européenne, transposée dans les législations nationales des pays germanophones, impose des obligations strictes en matière de sécurité des réseaux et des systèmes d’information, avec des sanctions pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.)
Le taux d’épuisement professionnel parmi les RSSI dépasse les 50 %.
Le RSSI moderne est un gestionnaire des risques, et non un technicien – il communique la cybersécurité dans le langage des affaires.
Trois indicateurs clés traduisent la cybersécurité en langage de direction : l’exposition au risque en euros, le niveau de maturité de la conformité et le retour sur investissement (ROI) de la sécurité.

Le RSSI d’une entreprise industrielle réclamait depuis deux ans un budget pour la création d’un SOC (Security Operations Center). Puis vint l’attaque par ransomware : trois semaines d’arrêt total, 12 millions d’euros de pertes. Le budget a été approuvé dès le lendemain de la reprise des activités. Trop peu d’influence pour la prévention, trop de responsabilité en cas d’échec – tel est le dilemme du RSSI. La directive NIS2 rebat les cartes.

Le problème structurel

Un RSSI (Responsable de la Sécurité des Systèmes d’Information) rend compte au DSI (Directeur des Systèmes d’Information), qui lui-même rend compte au DAF (Directeur Administratif et Financier), qui enfin rend compte au PDG. Trois niveaux séparent ainsi la sécurité de la direction générale. Les budgets dédiés à la cybersécurité entrent en concurrence avec les projets d’infrastructure IT. Pis encore : les risques cyber sont présentés comme des risques informatiques, et non comme des risques métiers. La solution ? Une ligne de reporting directe vers le PDG ou le conseil d’administration. La cybersécurité doit figurer au même niveau que les risques marché, les risques financiers ou les risques opérationnels.

NIS2 : responsabilité personnelle des dirigeants

La directive NIS2 rend les dirigeants personnellement responsables de la mise en place de mesures de cybersécurité adaptées. En Allemagne, environ 30 000 entreprises sont concernées – un chiffre qui reflète l’ampleur des obligations imposées par cette réglementation européenne, entrée en vigueur en janvier 2023 et devant être transposée dans les droits nationaux d’ici octobre 2024. Pour le RSSI (responsable de la sécurité des systèmes d’information), le changement est radical : il n’est plus un simple demandeur. Désormais, c’est lui qui détient la clé pour protéger les membres du directoire d’une responsabilité personnelle en cas de faille de sécurité. Un renversement de pouvoir qui place la cybersécurité au cœur des priorités stratégiques des entreprises du DACH (Allemagne, Autriche, Suisse).

Du technicien au gestionnaire des risques

Sens des affaires : Il comprend comment l’entreprise génère des revenus et où la sécurité crée de la valeur ajoutée. Communication : Au lieu de parler de pare-feu et de correctifs, il évoque l’exposition aux risques, l’impact sur l’activité et le retour sur investissement de la sécurité. Pensée stratégique : Il hiérarchise les priorités en fonction des risques métiers, et non de l’élégance technique.

Trois indicateurs clés pour le comité de direction

Exposition au risque en euros : Probabilité d’occurrence multipliée par le préjudice attendu. La méthodologie FAIR (Factor Analysis of Information Risk) permet une approche systématique. Maturité en matière de conformité : Échelle de 1 à 5 par rapport aux exigences de la directive NIS2 (Network and Information Security 2, une réglementation européenne renforçant la cybersécurité des opérateurs critiques), de la norme ISO 27001 (référence internationale en matière de gestion de la sécurité de l’information) et du BSI-Grundschutz (cadre allemand de protection des systèmes d’information). Benchmarking par rapport aux concurrents. Retour sur investissement (ROI) de la sécurité : Valeur générée par chaque euro investi dans la sécurité – incidents évités, primes d’assurance réduites, conformité assurée.

Questions fréquentes

À qui le RSSI (Responsable de la Sécurité des Systèmes d’Information) doit-il rendre des comptes ?

Directement au PDG ou à un membre du directoire n’occupant pas la fonction de DSI (Directeur des Systèmes d’Information). Une ligne de reporting vers le DSI crée un conflit d’intérêts.

Quel budget consacrer à la cybersécurité ?

Entre 10 et 15 % du budget informatique, jusqu’à 20 % pour les secteurs réglementés. L’orientation doit se baser sur une évaluation quantifiée de l’exposition aux risques.

Une PME a-t-elle besoin d’un RSSI ?

À partir de 500 collaborateurs : oui. Pour les structures plus petites, un RSSI externalisé (vRSSI) représente une solution, avec un coût mensuel compris entre 3 000 et 8 000 euros.

Source de l’image d’en-tête : Unsplash / Hunters Race