La société internationale de recrutement de cadres Heidrick & Struggles vient de publier son rapport d’enquête de 2022 sur les CISO, examinant à la fois la structure organisationnelle et la rémunération de ce rôle de plus en plus critique. Compilant des données à partir d'une enquête menée au printemps 2022 auprès de 327 CISO de grands groupes dans le monde, le rapport apporte plusieurs conclusions sur leur rémunération en hausse, l’apparition de risques personnels, ainsi que les problèmes persistants de diversité.
Les RSSI qui ont répondu à l'enquête viennent principalement des États-Unis. L'Australie, la Belgique, la France, l'Allemagne, les Pays-Bas, Singapour, la Corée du Sud et le Royaume-Uni sont également représentés. Plus des deux tiers des sondés travaillent dans des entreprises dont le chiffre d'affaires annuel était égal ou supérieur à 5 milliards de dollars (donc des grands comptes). Ils sont issus de différents secteurs d'activité, le plus souvent les services financiers, la technologie et les télécommunications, mais aussi l'industrie, la manufacture, l'énergie, le commerce de détail et les médias. Retour sur les principales conclusions du rapport.
La rémunération des CISO continue d'augmenter
Aux États-Unis, la rémunération médiane des RSSI est passée à 584 000 $ cette année, soit une augmentation de 15 % par rapport aux 509 000 $ de l'année dernière et de 23 % par rapport aux 473 000 $ de 2020. La rémunération totale médiane, y compris les attributions d'actions annualisées ou les incitations à long terme, a également augmenté, passant de 936 000 $ à 971 000 $. On note toutefois une certaine variation de la rémunération entre les régions des États-Unis. La rémunération de base a augmenté dans presque toutes les catégories, tandis que les primes en pourcentage de la rémunération totale est restée relativement stable. Les nouveaux RSSI (ceux qui occupent leur dans leur rôle depuis moins d'un an) ont généralement connu les plus fortes augmentations de rémunération globale. A contrario, les personnes qui ont le moins bénéficié de cette évolution sont ceux qui ont occupé leur poste pendant cinq ans ou plus.
Dans l'ensemble, le Royaume-Uni a connu des tendances similaires à celles des États-Unis. La rémunération médiane déclarée des RSSI au Royaume-Uni est passée à 318 000 £ cette année, contre 306 000 £ l'année dernière. Cependant, la baisse des fonds propres annuels a été plus prononcée, à 14 %, entraînant une croissance négative de 9 % de la rémunération totale d'une année sur l'autre.
Concilier santé et travail
Pour la première fois, Heidrick & Struggles a interrogé les RSSI sur les risques personnels auxquels ils sont confrontés dans leur fonction. Il en ressort que l'épuisement professionnel et le stress sont les deux principaux risques. Aux États-Unis, les personnes sondées ont indiqué que le stress lié à leur rôle (60 %) et l'épuisement professionnel (53 %) étaient les plus grands problèmes auxquels ils sont confrontés. Cependant, la perte d'emploi à la suite d'une violation n'a préoccupé que 28 % d'entre eux, ce qui suggère que beaucoup se sentent relativement en sécurité dans leur rôle. En Europe, les sondés précisent que le stress lié au rôle (54 %), l'épuisement professionnel (35 %) et un marché de l'embauche dynamique qui entraîne à la fois un turn-over plus élevé que d'habitude (34 %) et provoque des perturbations au sein des équipes (30 %) étaient préoccupants.
En prenant en compte l’épuisement et le stress associés à cette fonction, les entreprises devraient envisager des plans de succession et/ou des stratégies de rétention afin que les RSSI ne quittent pas leur poste inutilement. Notons que ces cadres se sentent relativement en sécurité dans leur poste - la perte d'emploi à la suite d'une violation n'était pas le risque le plus élevé. Cela s'explique en partie par le fait que les meilleurs RSSI sont en mesure d'obtenir des protections de niveau exécutif (couverture d'assurance D&O et indemnités de départ, par exemple) qui leur permettent d’effectuer leur travail sans être encombrés par la menace d'un risque professionnel.
Un besoin croissant de diversité
La plupart des personnes interrogées sont des hommes et des blancs, avec peu de variations entre les régions. Au niveau mondial, 18 % des personnes interrogées sont issues de la diversité : femmes, noirs ou afro-américains, hispaniques ou latino-américains. Rien qu'aux États-Unis, la proportion de répondants issus de la diversité tombe à 14 %, bien que la représentation des hispaniques/latino-américains ait augmenté, passant de 5 % l'année dernière à 8 %.
« L'expérience de Heidrick & Struggles en matière de recrutement de RSSI jusqu'à présent en 2022 reflète un besoin croissant de talents issus de la diversité » indique l’entreprise dans son rapport. « Nous constatons que les entreprises sortent de plus en plus des critères traditionnels propres à l'industrie et à l'informatique pour recruter des RSSI afin de trouver les meilleurs cadres pour ce rôle, notamment des personnes issues de la diversité en termes de sexe ou d'origine ethnique, ainsi que d'expertise sectorielle et fonctionnelle ».
Des effectifs légèrement renforcés face aux responsabilités
Les RSSI sont confrontés à plusieurs domaines de responsabilité avec en priorité la sécurité des applications/produits. Le rapport fait également le constat de la cybersécurité, de plus en plus intégrée au développement des logiciels de base et aux processus métiers en adoptant l'approche "security by design".
Dans l'ensemble, la taille des équipes a augmenté par rapport à l'année dernière. La part des RSSI ayant les plus petites équipes a chuté de 38 % à 31 %, et celle des équipes les plus importantes a augmenté de 18 % à 21 %. L'augmentation de la taille des équipes reflète l'investissement accru de cette fonction au niveau du conseil d'administration et montre la nécessité de recruter des talents de haut niveau et de renforcer les effectifs de l'équipe sécurité afin de réduire, à terme, les préoccupations que constituent l’épuisement professionnel et la pression du turn-over.
Quelle suite après le poste de RSSI ?
Les RSSI aspirent à devenir membres du conseil d'administration, mais se heurtent à des obstacles : 56 % des répondants américains et 40 % des répondants européens ont déclaré que leur prochain rôle idéal était celui de membre du conseil d'administration. Toutefois, aux États-Unis, seuls 14 % de l'ensemble des RSSI ont déclaré siéger dans un conseil d'administration d'entreprise ou à la fois dans un conseil d'administration d'entreprise et dans un conseil consultatif. En effet nombre de ces structures préfèrent encore fréquemment avoir des administrateurs ayant une expérience préalable : 57 % des sièges aux États-Unis et en Europe avaient déjà siégé au conseil d'une entreprise cotée. Ce chiffre atteint 64 % au Royaume-Uni.
L'expérience en matière de cybersécurité fait ainsi cruellement défaut aux conseils d'administration. En Europe, le rapport Board Monitor Europe 2022 de H&S indique que seuls 5 % des sièges occupés dans les conseils d'administration en 2021 l'ont été par des personnes ayant une expérience de la cybersécurité, quelle qu'elle soit. Au Royaume-Uni et aux États-Unis, ces chiffres étaient respectivement de 10 % et 17 %. À l'avenir, on peut s’attendre à ce que davantage d'entreprises envisagent d'ajouter des RSSI à leur conseil d'administration. En dehors des postes de direction, la progression de carrière des RSSI reste délicate. Bien que 38 % des RSSI dans le monde soient aujourd'hui rattachés au DSI, seuls 13 % d'entre eux considèrent qu'il s'agit là de leur prochain rôle idéal. Le large éventail d'étapes suivantes qui intéressent les RSSI montre qu'il s'agit d'un rôle en évolution, où la prochaine étape n'est pas encore claire.
Commentaire