RSSI / CISO

01 — DéfinitionQu'est-ce qu'un RSSI ?

Le RSSI (Responsable de la Sécurité des Systèmes d'Information), équivalent français du CISO (Chief Information Security Officer), est le dirigeant responsable de la sécurité de l'information au sein d'une organisation. Il définit la stratégie cybersécurité, pilote sa mise en œuvre, et rend compte des risques à la direction générale et aux parties prenantes.

Le poste est apparu dans les années 1990 dans les grandes entreprises (banques, télécoms, défense), d'abord comme une fonction technique rattachée à la DSI. Il s'est progressivement transformé en fonction de direction autonome à mesure que la cybersécurité devenait un enjeu business stratégique. Les grandes ruptures :

• Années 2000 : première professionnalisation, émergence des premières certifications (CISSP lancé en 1994).
• 2010 : montée en puissance avec les premières grandes brèches médiatisées (Target, Sony Pictures).
• 2016-2018 : entrée en vigueur du RGPD, accélération massive du marché.
• 2020-2022 : explosion ransomware, pandémie et télétravail, budgets cyber en forte hausse.
• 2024-2026 : NIS2 et DORA imposent une fonction RSSI identifiée dans les entités régulées, avec responsabilité personnalisée des dirigeants.

En 2026, le métier est structuré, reconnu et en pénurie. L'ANSSI et les associations professionnelles (CESIN, CLUSIF, CEFCYS, ARCSI) publient régulièrement des baromètres qui documentent l'évolution du rôle. Selon le Baromètre du CESIN, plus de 90% des grandes entreprises françaises disposent d'un RSSI identifié en 2025.

Le RSSI n'est pas qu'un technicien : c'est un dirigeant qui traduit des enjeux business en exigences de sécurité, et des risques cyber en langage compris par la direction. Son rôle le plus difficile n'est pas de sécuriser techniquement — c'est d'arbitrer, négocier et influencer.

02 — MissionsQue fait un RSSI concrètement

Stratégie et gouvernance

• Définir la stratégie cybersécurité alignée avec la stratégie d'entreprise et les enjeux métier.
• Élaborer la PSSI (Politique de sécurité des systèmes d'information) et ses déclinaisons opérationnelles.
• Présenter au comité exécutif et au conseil d'administration l'état des risques, les indicateurs, les décisions à prendre.
• Piloter le budget cybersécurité (investissement, exploitation, ressources humaines).
• Coordonner les référentiels : ISO 27001, SOC 2, NIST CSF, etc.

Gestion des risques

• Cartographier les risques cyber sur l'ensemble du périmètre (SI interne, cloud, fournisseurs, OT).
• Piloter l'analyse des risques (méthodes EBIOS RM, ISO 27005, MEHARI).
• Tenir le registre des risques et assurer son suivi régulier.
• Valider ou arbitrer les traitements : accepter, réduire, transférer, éviter.
• Documenter les acceptations de risque au niveau approprié (RSSI, direction, conseil).

Conformité

• Veille réglementaire : RGPD, NIS2, DORA, CRA, obligations sectorielles.
• Articulation avec la CNIL, l'ANSSI, les autorités sectorielles.
• Coordination avec le DPO sur les enjeux données personnelles.
• Gestion des audits externes : certification, clients, autorités.
• Préparation aux contrôles CNIL, ANSSI, ACPR selon le secteur.

Opérations et architecture

• Superviser le SOC (interne ou externalisé) — détection et réponse aux menaces.
• Piloter les équipes sécurité : ingénieurs, analystes, architectes.
• Définir les architectures sécurité : zero trust, segmentation, IAM, MFA.
• Choisir les outils : EDR, SIEM, PAM, pare-feu, sandbox.
• Intégrer la sécurité dans les projets dès la conception (security by design).

Gestion des incidents et crises

• Préparer l'organisation aux incidents : procédures, exercices de crise, coordination avec CSIRT.
• Piloter la réponse aux incidents majeurs : ransomware, fuite de données, attaque ciblée.
• Coordonner avec le forensic et les équipes techniques.
• Gérer les communications de crise en lien avec DG, juridique, communication externe.
• Coordonner les notifications : ANSSI, CNIL, autorités sectorielles, clients, partenaires.
• Piloter le retour d'expérience et l'amélioration post-incident.

Facteur humain

• Sensibilisation et formation des collaborateurs.
• Campagnes de simulation de phishing.
• Formation spécifique des dirigeants (obligation NIS2).
• Culture de signalement des incidents et comportements anormaux.
• Relations avec les RH pour les habilitations, départs, comportements.

Relations avec les tiers

• Évaluation sécurité des fournisseurs et sous-traitants critiques.
• Clauses contractuelles de sécurité et de notification.
• Audits fournisseurs périodiques.
• Gestion de la cyber-assurance : négociation de la police, relation avec l'assureur, gestion des sinistres.
• Relations avec les clients : réponses aux questionnaires sécurité, audits, certifications demandées.

03 — CompétencesLe profil attendu

Compétences techniques

Un RSSI n'a pas besoin d'être le meilleur technicien, mais doit comprendre en profondeur :

• Architecture SI : réseau, cloud, applicatif, data.
• Menaces et attaques : phishing, ransomware, zero-day, ingénierie sociale.
• Contrôles de sécurité : chiffrement, IAM, surveillance, segmentation, sauvegardes.
• Gestion des vulnérabilités : CVE/CVSS/EPSS, patchs, priorisation.
• Cloud et DevSecOps : AWS, Azure, GCP, Kubernetes, SBOM, CI/CD sécurisé.
• Technologies émergentes : IA, IoT, post-quantique.

Compétences management et gouvernance

• Vision stratégique : aligner sécurité et enjeux business.
• Leadership : management d'équipes multidisciplinaires.
• Gestion de projet et de programme.
• Gestion budgétaire : construction, défense, optimisation.
• Gestion des risques : méthodes, outillage, dialogue avec la direction des risques.

Compétences juridiques et réglementaires

• Maîtrise des textes : RGPD, NIS2, DORA, CRA, obligations sectorielles.
• Compréhension contractuelle : clauses sécurité, responsabilités, accords de traitement.
• Articulation avec le juridique : droit du travail (contrôle), droit pénal (incidents), responsabilité des dirigeants.

Compétences relationnelles

• Communication : traduire des enjeux techniques pour un public non technique (COMEX, conseil).
• Négociation : avec DSI, métiers, fournisseurs, autorités.
• Influence : obtenir des changements sans avoir toujours l'autorité formelle.
• Gestion du stress : fonction exposée aux incidents graves et aux crises.
• Pédagogie : sensibilisation, formation, accompagnement du changement.

Soft skills particulièrement valorisés

• Intégrité et éthique (le RSSI voit beaucoup d'informations sensibles).
• Pragmatisme (tout ne peut être sécurisé, il faut arbitrer).
• Curiosité intellectuelle (domaine en évolution permanente).
• Capacité à prendre des décisions sous incertitude.
• Résilience face aux échecs (les incidents sont inévitables).

04 — RattachementQui est le patron du RSSI ?

Les rattachements historiques et leurs limites

RSSI rattaché au DSI

Le plus courant historiquement, encore fréquent dans les PME et certaines ETI. Avantages : proximité technique, coordination simple avec les équipes IT, mise en œuvre rapide.

Limites majeures : conflit d'intérêts structurel. Le DSI a des objectifs de livraison, de coût, de performance — parfois contradictoires avec les exigences de sécurité. Un RSSI subordonné au DSI peut avoir du mal à s'opposer ou à faire remonter des problèmes. En cas d'incident, la question de la responsabilité devient trouble.

Les rattachements modernes recommandés

RSSI rattaché au directeur général / COMEX

Organisation la plus mature et préconisée par l'ANSSI et les associations professionnelles. Le RSSI est un dirigeant à part entière, au même niveau que DSI, DAF, DRH. Avantages : indépendance, voix directe au COMEX, priorité aux enjeux stratégiques.

Très courant dans les grands groupes, les banques, les secteurs régulés. NIS2 pousse clairement dans cette direction.

RSSI rattaché au directeur des risques

Approche intégrée de la gestion des risques (financiers, opérationnels, cyber, conformité). Fréquent dans les secteurs financier et assurance. Le CISO travaille aux côtés du Chief Risk Officer (CRO), dans une logique de second line of defense.

RSSI rattaché au directeur juridique ou conformité

Vision conformité-dominante, plus orientée documentation, audits, réglementations. Peut être pertinent dans les secteurs très régulés, mais présente un risque de déconnexion opérationnelle.

Direction Cyber autonome

Certaines grandes organisations créent une Direction Cyber (CyberDir) autonome, à côté de la DSI, avec son propre budget et ses propres équipes (SOC, ingénieurs sécurité, forensic). Le RSSI/CISO dirige cette direction. Modèle moderne dans les grands groupes internationaux.

Le double rattachement

Certaines organisations mettent en place un double rattachement : rattachement hiérarchique au DG (pour l'indépendance), rattachement fonctionnel au directeur des risques ou au DSI (pour la coordination). Compromis fréquent dans les organisations en transition.

Ce que dit NIS2

La directive NIS2 (article 21) impose des mesures de gestion des risques cybersécurité, et l'article 20 engage la responsabilité des dirigeants. Sans imposer un rattachement précis, NIS2 rend le statut subalterne du RSSI difficilement tenable pour les entités régulées. Conséquence pratique : les entreprises soumises à NIS2 remontent massivement le rattachement du RSSI depuis 2024.

Indicateur de maturité

Une règle empirique largement partagée : « regarde à qui le RSSI reporte, tu sauras si la sécurité est vraiment prise au sérieux ». Un RSSI rattaché hiérarchiquement à un responsable réseau ou à un chef de projet est un signal d'alerte pour un candidat, un partenaire ou un auditeur.

05 — SalaireRémunération sur le marché français

Fourchettes indicatives 2026

RSSI débutant / junior

• 3-7 ans d'expérience, PME/ETI, province : 55 000 - 80 000 € brut annuel.
• 3-7 ans d'expérience, Paris/Lyon : 65 000 - 95 000 €.
• Souvent un premier poste de RSSI après expérience en tant qu'ingénieur sécurité, consultant ou responsable sécurité opérationnelle.

RSSI confirmé

• 7-15 ans d'expérience, ETI hors secteurs critiques : 85 000 - 130 000 €.
• Secteurs réglementés (banque, assurance, santé, énergie) : 100 000 - 160 000 € + variable.
• Périmètre de plusieurs milliers de collaborateurs, équipe dédiée.

RSSI / CISO senior — grand groupe

• 15+ ans, grande ETI ou groupe international : 130 000 - 200 000 € fixe + variable.
• CAC 40 : 180 000 - 280 000 € fixe, 250 000 - 400 000 € total avec variable et intéressement.
• Banques de financement et d'investissement, grands industriels : packages pouvant dépasser 400 000 €.
• Souvent statut cadre dirigeant, mandataire social dans certains cas.

Profils spécifiques

• RSSI de filiales de groupes US : benchmark international, packages souvent 20-40% au-dessus du marché français.
• RSSI indépendant en régie : 800 à 1 500 € HT par jour selon expérience et mission.
• RSSI à temps partagé (fractional CISO) : modèle croissant pour les PME, 1-3 jours par semaine à 1 000-1 500 € HT par jour.
• MSSP / cabinet conseil : directeur cyber d'un MSSP, 150 000 - 250 000 €.

Facteurs influençant la rémunération

• Taille de l'organisation : effectif, chiffre d'affaires, complexité.
• Secteur : banque, assurance, santé, défense tirent vers le haut.
• Périmètre international : multi-pays, multi-entités.
• Certifications : CISSP, CISM valorisent 5-15%.
• Localisation : Paris +15-25% par rapport aux régions.
• Exposition risques : OIV, NIS2, DORA, secteur sensible.
• Réputation : RSSI ayant géré des crises publiques, prises de parole publiques.

Tendances 2024-2026

• Hausse générale de 10-20% depuis 2022, tirée par NIS2 et pénurie de talents.
• Demande > offre : les profils RSSI expérimentés sont en tension forte.
• Développement des RSSI à temps partagé pour les PME qui ne peuvent pas financer un temps plein.
• Féminisation progressive : encore sous-représentation mais évolution positive, associations CEFCYS et Women4Cyber actives.
• Mobilité internationale : débouchés vers d'autres pays européens attractifs.

06 — FormationParcours et certifications

Formations initiales

Écoles d'ingénieurs et universités

• Écoles d'ingénieurs généralistes avec spécialisation cyber : Centrale-Supélec, Télécom Paris, INSA, Mines, Ensimag, EURECOM.
• Masters universitaires : M2 Sécurité des SI (plusieurs universités), M2 Cryptographie, M2 Data Security.
• Cursus dédiés cyber : ESIEA, EPITA spécialisation SSI, Efrei, ISEP, ESD Paris (Expert en Sécurité Numérique).

Formations spécialisées

• MS Management de la Cybersécurité (Télécom Paris, Centrale-Supélec, HEC, EMLyon) : post-diplôme pour RSSI.
• Mastères spécialisés : plusieurs écoles proposent des MS d'un an pour reconversion ou spécialisation.
• Formations ANSSI : CFSSI pour les agents publics, nombreuses formations thématiques.

Certifications professionnelles

Top 3 pour un RSSI

• CISSP (ISC²) : référence mondiale, 8 domaines (sécurité des actifs, cryptographie, architecture, IAM, opérations, etc.). 5 ans d'expérience minimum, examen difficile. Durée de validité : 3 ans avec CPE.
• CISM (ISACA) : Certified Information Security Manager. Axé management et gouvernance, très adapté au profil RSSI. 5 ans d'expérience.
• CRISC (ISACA) : Certified in Risk and Information Systems Control. Focus gestion des risques.

Certifications techniques complémentaires

• CISA (ISACA) : Certified Information Systems Auditor. Axé audit.
• ISO 27001 Lead Implementer / Lead Auditor (PECB, BSI, Bureau Veritas) : spécialisé SMSI.
• OSCP (Offensive Security) : reconnaissance technique, plutôt profil pentester mais valorisé.
• GIAC (SANS) : nombreuses spécialisations (GSEC, GCIH, GSLC pour leadership).
• Cloud Security certifications : CCSP (ISC²), AWS/Azure/GCP security specializations.

Certifications françaises

• Qualifications ANSSI : pour certaines fonctions dans le secteur public ou OIV.
• Certifications métier reconnues par France Compétences (RNCP).

Parcours typiques

Parcours technique

Ingénieur sécurité → responsable sécurité opérationnelle → adjoint RSSI → RSSI. Souvent 10-15 ans d'expérience. Profil très technique, qui s'enrichit progressivement en management et gouvernance.

Parcours conseil

Consultant cybersécurité (Big 4, MSSP, cabinets spécialisés) → senior manager → directeur d'offre → RSSI en entreprise. Profil polyvalent, exposé à de nombreux contextes.

Parcours audit

Auditeur SI → auditeur sécurité → CISA certifié → consultant conformité → RSSI à dominante gouvernance/conformité.

Parcours atypique

De plus en plus de reconversions d'officiers militaires, forces de l'ordre, juristes, chefs de projet IT. Profils complémentaires qui enrichissent le métier.

Formation continue

Le domaine évolue très vite — la formation continue est indispensable :

• Conférences (FIC — Forum InCyber, Assises de la Sécurité, Black Hat, DEF CON).
• Associations professionnelles (CESIN, CLUSIF, CEFCYS, ARCSI).
• Formations techniques (SANS, Offensive Security, éditeurs).
• Veille via fournisseurs, CTI, CERT.
• Webinaires, podcasts, newsletters spécialisées.

07 — ÉvolutionsLe métier en mutation

Judiciarisation et responsabilité personnelle

Évolution la plus marquante récente. Plusieurs signaux :

• Cas SolarWinds / SEC (2023-2024) : le CISO Tim Brown a été personnellement mis en cause par la SEC américaine pour déclarations trompeuses. Affaire emblématique qui a fait trembler la profession.
• Cas Uber (2022) : ancien CISO Joe Sullivan condamné pour dissimulation d'une violation de données.
• NIS2 article 20 : responsabilité des organes de direction des entités essentielles et importantes.
• Exposition accrue aux poursuites civiles (shareholder suits aux USA, plaintes en France).

Conséquences pratiques : demande croissante de D&O insurance (assurance responsabilité des dirigeants), formalisation des mandats, documentation plus stricte des décisions et arbitrages.

Intelligence artificielle

Double enjeu. D'un côté, sécuriser les usages IA dans l'organisation : ChatGPT et concurrents, agents autonomes, assistants de code, systèmes IA intégrés aux applications. De l'autre, utiliser l'IA pour défendre : détection d'anomalies, tri des alertes, réponse automatisée, analyse de malwares. Les RSSI doivent composer avec des technologies qui évoluent plus vite que les processus de gouvernance.

L'AI Act européen (2024/1689) ajoute des obligations spécifiques pour certains usages d'IA que le RSSI doit piloter en coordination avec le DPO et le juridique.

Chaîne d'approvisionnement

Les attaques de supply chain (SolarWinds, 3CX, MOVEit, XZ Utils) ont propulsé la gestion des fournisseurs au cœur du travail du RSSI : exigence de SBOM, évaluations périodiques, clauses contractuelles, notifications d'incidents. NIS2 et CRA formalisent ces attentes.

Souveraineté et géopolitique

Les RSSI doivent arbitrer entre : maturité technologique des hyperscalers américains, exigences de souveraineté française (SecNumCloud), tensions géopolitiques (Russie, Chine, USA), sanctions, restrictions d'exportation. La décision cloud n'est plus seulement technique.

Pénurie et rétention des talents

Le marché cyber est en tension structurelle : plus de 15 000 postes vacants en France selon les estimations 2025. Le RSSI consacre une part croissante de son temps au recrutement, à la rétention et à la formation des équipes. Les organisations qui réussissent investissent dans les parcours de carrière, la diversité, l'équilibre vie professionnelle / personnelle.

Fractionnement du rôle

Dans les grandes organisations, certaines responsabilités historiques du RSSI se spécialisent :

• Data Protection Officer (DPO) : souvent distinct, parfois rattaché.
• Chief Privacy Officer (CPO) : vie privée, distinct du DPO dans certains contextes internationaux.
• Head of Cyber Defense / VP Defense : pilote opérationnel du SOC et des équipes défense.
• Head of GRC : Gouvernance, Risques, Conformité.
• OT Security Leader : industrielle, distincte de l'IT dans certains groupes.

Émergence du « Business CISO »

Modèle moderne du RSSI davantage aligné avec le business que l'IT. Participe aux comités stratégiques, contribue au développement commercial (la sécurité devient un argument de vente), dialogue avec les clients, intervient en public. Profil hybride qui dépasse la seule expertise technique.

08 — FAQQuestions fréquentes

Un RSSI doit-il avoir été pentester ?

Non, ce n'est ni nécessaire ni particulièrement prédictif de la réussite. Beaucoup de très bons RSSI n'ont jamais réalisé de tests d'intrusion. Ce qui compte : comprendre les techniques d'attaque pour évaluer les risques, pas forcément les pratiquer. Un profil pentester ayant évolué vers le management apporte une culture offensive utile ; un profil gouvernance/conformité apporte d'autres qualités. La diversité des parcours enrichit le métier.

Faut-il externaliser le rôle de RSSI ?

Dépend de la taille et de la maturité. Pour une petite structure (< 100 personnes) sans obligations réglementaires fortes, un RSSI externe à temps partagé peut suffire. Modèle « fractional CISO » ou « RSSI mutualisé » en croissance. Pour une PME/ETI avec des enjeux significatifs, un RSSI interne à temps plein est préférable, éventuellement avec support externe. Pour toute entité soumise à NIS2 ou DORA, un RSSI interne identifié est désormais quasi-incontournable. L'externalisation totale des décisions stratégiques de sécurité est généralement déconseillée.

Le RSSI doit-il gérer la sécurité physique ?

Selon l'organisation. Historiquement, sécurité physique et sécurité informatique étaient séparées. Aujourd'hui, avec la convergence (contrôle d'accès connecté, vidéosurveillance IP, IoT industriel), les deux sont liées. Modèles possibles : RSSI couvre uniquement l'informationnel, un Security Director couvre les deux, ou le RSSI coordonne avec le directeur sûreté. ISO 27001 inclut la sécurité physique dans son périmètre (mesures A.7), ce qui peut justifier une responsabilité coordonnée.

Qu'arrive-t-il au RSSI en cas d'incident majeur ?

Plusieurs scénarios. Dans une organisation mature qui a préparé la crise et dont le RSSI a alerté correctement : rôle central de gestion de crise, renforcement de la position post-incident. Dans une organisation mal préparée ou si le RSSI n'a pas fait remonter les risques : risque professionnel réel (remise en cause, voire départ). Les RSSI apprennent à protéger leur position par la documentation (alertes formalisées, acceptations de risque signées, traces écrites des arbitrages). Dans les cas graves, la responsabilité peut s'étendre au civil ou au pénal.

Quelles alternatives de carrière pour un RSSI ?

Plusieurs évolutions possibles :

• Verticalement : RSSI d'un groupe plus grand, poste international.
• Chief Digital & Security Officer : périmètre élargi couvrant la transformation.
• Chief Risk Officer (CRO) : transition vers la gestion des risques globale.
• Board member / administrateur indépendant : place au conseil d'administration sur thématique cyber.
• Conseil et entrepreneuriat : fondateur de MSSP, associé en cabinet.
• Investissement : business angel, advisor, venture capital cyber.
• Enseignement : interventions en grandes écoles, publications.