Il n’y a peut-être pas de pénurie de RSSI après tout.

La pénurie perçue de RSSI peut résulter d’attentes irréalistes en matière d’emploi.

Le débat sur la pénurie mondiale de responsables de la sécurité de l’information (CISO) passe souvent à côté de la question sous-jacente : la façon dont nous définissons le rôle lui-même. Le rapport 2026 de Cybersecurity Ventures et Sophos estime qu’il y a environ 35 000 RSSI dans le monde, au service de 359 millions d’entreprises, soit un rapport frappant de 10 000 pour 1. Sur le papier, il s’agit d’une lacune importante en matière de leadership. Mais les chiffres cachent parfois la réalité. Dans de nombreuses organisations, le problème est que le rôle est devenu presque impossible à assumer par une seule personne.

Les RSSI modernes sont confrontés à un champ d’action écrasant. Leur travail s’étend désormais de la stratégie de cybersécurité à la conformité, en passant par la gestion de crise et même la surveillance des risques liés à l’IA. Erik Avakian, conseiller technique à l’Info-Tech Research Group, le dit sans ambages : les entreprises veulent « un Superman » mais ne parviennent souvent pas à recruter intelligemment ou à mettre en place les structures de soutien adéquates autour du leader qu’elles ont déjà. Les organisations qui surchargent leurs RSSI de toutes les fonctions de sécurité imaginables font plus de mal que de bien, poussant les talents vers l’épuisement et le roulement.

Pour les dirigeants, il s’agit de créer des architectures de travail plus intelligentes. Peu de dirigeants peuvent exceller simultanément dans tous les domaines de la cybersécurité, de la gouvernance et de la protection des données. Les structures de direction devraient plutôt séparer la gestion opérationnelle de la supervision stratégique. Cela crée à la fois de la durabilité et de la concentration. Des rôles bien conçus donnent également aux RSSI le temps de penser à long terme plutôt que de réagir constamment aux menaces.

Ce qui ressemble à une « pénurie » est, dans de nombreux cas, un défaut de conception. Les décideurs devraient considérer le RSSI comme un leader stratégique soutenu par les systèmes, les adjoints et les technologies appropriés. Lorsque les attentes s’alignent sur la réalité, la soi-disant pénurie commence à se résorber.

La pénurie de dirigeants dans le domaine de la cybersécurité n’est pas uniforme dans toutes les organisations

La prétendue pénurie mondiale de RSSI ne se manifeste pas de la même manière dans tous les secteurs d’activité. Certaines entreprises ont du mal à recruter des responsables de la sécurité, d’autres non. La différence réside dans la manière dont elles positionnent et définissent le rôle. Chase Snuffer, DSI de Rayburn Electric Cooperative, affirme que son entreprise n’a pas eu de difficultés à trouver des responsables qualifiés en matière de cybersécurité. De même, Scott Sanders, DSI de Sikich, décrit un flux régulier de candidats expérimentés. Ces points de vue remettent en question l’idée d’une crise universelle.

Les grandes entreprises sont souvent confrontées à une dynamique différente. Elles opèrent sur des marchés où où la concurrence pour les meilleurs talents en cybersécurité s’intensifie. Chris Drumgoole, président de Global Infrastructure Services chez DXC Technology, note que si la courbe de l’offre et de la demande de talents en cybersécurité « évolue dans la mauvaise direction », ce n’est pas encore un problème qui nécessite une intervention au niveau du conseil d’administration. En d’autres termes, la gravité de la situation varie en fonction de la taille de l’entreprise, de sa maturité et de sa situation géographique.

Les dirigeants doivent éviter de considérer cette question comme un problème unique. Les organisations de petite ou moyenne taille peuvent s’adapter plus rapidement parce qu’elles sont souvent plus flexibles dans la combinaison des rôles de direction ou la redéfinition des champs d’application des postes. Les grandes multinationales, quant à elles, ont des écosystèmes plus complexes qui requièrent un leadership dédié et spécialisé. La compréhension de ces différences rend la planification des effectifs plus efficace et plus réaliste.

Si votre entreprise pense être confrontée à une pénurie de RSSI, demandez-vous si cette perception découle des conditions du marché ou des attentes internes. La capacité à attirer et à retenir les leaders de la cybersécurité reflète souvent la culture de l’entreprise, son positionnement concurrentiel et l’alignement de son leadership plus que la rareté du marché. Se concentrer sur la clarté du rôle, la mission de l’organisation et le développement du leadership interne peut souvent faire plus que de simplement augmenter les salaires ou de lancer des campagnes de recherche plus larges pour résoudre le problème.

L’élargissement des exigences professionnelles pour les RSSI aggrave les difficultés de recrutement et contribue à la rotation des effectifs.

Le rôle du responsable de la sécurité de l’information s’est considérablement élargi par rapport à ce qu’il était il y a dix ans. Il ne se limite plus à superviser les défenses du réseau ou à gérer la protection des données. Aujourd’hui, on attend du CISO qu’il dirige la gestion des risques, la conformité, la protection de la vie privée et qu’il communique même directement avec le conseil d’administration au sujet de l’impact stratégique sur l’entreprise. Le problème est que la plupart des descriptions de poste n’ont pas été adaptées à la réalité, à savoir qu’aucune personne ne peut maîtriser l’ensemble de ce spectre.

Nombre de ces postes exigent un ensemble exhaustif de qualifications, de diplômes de haut niveau, d’expertise technique approfondie et d’expérience de leadership de haut niveau, jusqu’à l’impossibilité. Erik Avakian, conseiller technique à l’Info-Tech Research Group, a observé ce modèle de première main, décrivant de nombreuses offres d’emploi de RSSI comme « demandant l’évier de cuisine ». Cette approche réduit considérablement le nombre de candidats, car elle élimine les leaders solides qui ne cochent peut-être pas toutes les cases des diplômes ou des certifications, mais qui possèdent les capacités de prise de décision et de résilience dont le poste a réellement besoin.

Chris Drumgoole, président de Global Infrastructure Services chez DXC Technology, met l’accent sur un autre aspect essentiel, à savoir l’investissement dans le développement du leadership interne. Le meilleur expert technique ne devient pas automatiquement un bon dirigeant. M. Drumgoole recommande des programmes de formation délibérés pour transformer des spécialistes compétents en leaders stratégiques capables de penser en termes d’affaires, de risques et de technologie. Ce changement, qui consiste à former des leaders plutôt qu’à rechercher constamment des talents mythiques, pourrait résoudre une grande partie de ce qui est considéré comme une pénurie systémique.

Pour les décideurs, il ne s’agit pas d’abaisser les normes. Il s’agit de donner la priorité à ce qui compte vraiment. Une bonne communication, un esprit de collaboration et un bon jugement sous pression ont souvent plus de valeur qu’une autre certification. Les dirigeants devraient se concentrer sur la création de voies permettant aux employés existants d’évoluer vers des rôles de direction, et ne pas se contenter de recruter à l’extérieur. Les capacités à long terme se construisent grâce à un développement délibéré, et non en surchargeant les listes de postes avec des attentes irréalisables.

Élargir le rôle sans en redéfinir les limites épuise les gens et affaiblit la résilience de l’entreprise. Simplifier les attentes tout en renforçant les filières internes facilite la succession des dirigeants et réduit l’exposition aux risques liés à un renouvellement constant. Les entreprises qui agissent rapidement sur ce front créeront une culture de la cybersécurité plus stable à tous les niveaux de l’entreprise.

L’intégration stratégique des fonctions de direction en matière de cybersécurité comme alternative viable aux RSSI dédiés

Toutes les organisations n’ont pas besoin d’un RSSI dédié. Certaines décident de combiner le leadership en matière de technologie et de cybersécurité en une seule fonction, ce qui correspond mieux à leurs activités. Chase Snuffer, DSI de Rayburn Electric Cooperative, a expliqué que son entreprise avait délibérément choisi de d’intégrer la supervision de la cybersécurité au poste de DSI. Il considère cette structure intégrée comme un atout, car elle permet une prise de décision plus rapide et garantit que les considérations de technologie et de sécurité restent alignées sous la responsabilité d’un seul dirigeant.

Cette approche est souvent judicieuse pour les organisations de taille moyenne ou celles dont les ressources sont limitées. Le fait qu’un seul cadre gère à la fois la stratégie technologique et la gouvernance de la sécurité permet une planification cohérente et moins de priorités concurrentes. Toutefois, cette conception implique des compromis. La charge de travail combinée peut mettre un cadre à rude épreuve, et elle nécessite une forte délégation et des limites claires pour éviter que des domaines critiques ne soient négligés. Néanmoins, lorsqu’elle est bien gérée, elle permet une gouvernance plus souple et une vision unifiée de la technologie et des risques.

Pour les grandes entreprises, ce modèle peut être moins réalisable en raison de l’échelle et de la complexité réglementaire auxquelles elles sont confrontées. En revanche, pour les petites et moyennes entreprises, il permet d’optimiser l’efficacité du leadership et de maîtriser les coûts. Ce qui importe le plus, c’est une conception consciente, la compréhension de la position de l’organisation dans sa courbe de maturité et l’alignement de la structure sur cette réalité.

La combinaison des rôles de DSI et de RSSI ne doit pas être une réaction à la pénurie de talents ou aux contraintes de coûts ; il doit s’agir d’une décision commerciale fondée sur les besoins de l’organisation. Les dirigeants doivent s’assurer que la personne qui occupe les deux fonctions dispose de l’autorité, du soutien et des ressources nécessaires pour les gérer efficacement. Un examen régulier et un ajustement continu sont essentiels pour maintenir l’équilibre.

Lorsqu’elle est bien pensée, cette structure de direction fusionnée peut renforcer la coordination entre les opérations informatiques et la cybersécurité. Elle crée une responsabilité qui couvre à la fois la gestion des risques et l’expérience de l’utilisateur, ce que de nombreuses organisations ont du mal à équilibrer lorsque les responsabilités sont divisées.

Les modèles de sécurité hybrides s’appuyant sur les MSSP et les vCISO renforcent les capacités internes

L’évolution vers des structures hybrides de leadership en matière de cybersécurité s’est accélérée parce qu’elle fonctionne. De nombreuses organisations se rendent compte qu’elles n’ont pas besoin de gérer chaque détail opérationnel en interne pour maintenir une cybersécurité solide. Au lieu de cela, elles conservent le contrôle stratégique en interne tout en confiant des tâches spécialisées ou permanentes à des partenaires. Les fournisseurs de services de sécurité gérés (MSSP) et les RSSI virtuels (vCISO) permettent aux équipes internes de se concentrer sur la supervision, le leadership et la gouvernance tout en s’appuyant sur des experts externes pour gérer la surveillance continue et la détection des menaces.

Chez Rayburn Electric Cooperative, Chase Snuffer, qui assume à la fois les responsabilités de DSI et de RSSI, explique que l’entreprise fait appel à un MSSP pour gérer la couverture du centre d’opérations de sécurité (SOC) en dehors des heures de bureau et à un vCISO pour l’orientation stratégique. Cette combinaison lui donne la flexibilité nécessaire pour rester en phase avec les tendances du secteur sans surcharger les équipes internes. De même, Scott Sanders, DSI de Sikich, a indiqué que la direction de la sécurité de l’information de son entreprise restait interne, tandis que son MSSP assurait une surveillance des alertes 24 heures sur 24 et 7 jours sur 7. Les équipes internes gardent le contrôle total de la politique de sécurité et de la prise de décision, ce qui garantit que la responsabilité reste au sein de l’organisation.

Pour les dirigeants, cette approche offre un avantage opérationnel : les organisations ont accès à une expertise mondiale tout en conservant la compréhension contextuelle que seuls les initiés détiennent. Elle permet de concilier agilité et conformité sans gonfler les effectifs ni diluer la vision stratégique. Ce modèle est particulièrement efficace pour les entreprises de taille moyenne, où les ressources sont délibérées et où la rapidité de décision est essentielle. Toutefois, cette structure nécessite une gouvernance et une communication claires, ainsi que des limites de responsabilité définies entre les dirigeants internes et les fournisseurs externes.

L’externalisation ne signifie pas le transfert de la direction. L’organisation doit toujours conserver l’autorité et la direction finales. De solides relations avec les partenaires extérieurs peuvent renforcer la résilience, mais une surveillance insuffisante peut entraîner des risques. Les dirigeants doivent veiller à ce que les partenariats soient configurés autour d’une responsabilité partagée, de résultats mesurables et d’un flux d’informations rapide. Lorsqu’ils sont bien gérés, les modèles hybrides peuvent s’adapter efficacement à la croissance de l’entreprise et à l’évolution des menaces.

Le récit d’une pénurie mondiale de RSSI simplifie à l’extrême les défis complexes de l’organisation.

L’idée largement répandue d’une pénurie mondiale de RSSI simplifie ce qui est essentiellement un problème de conception organisationnelle. Après avoir examiné les schémas de recrutement, les définitions des rôles et les structures de direction, il apparaît clairement que le problème n’est pas une pénurie de talents, mais la façon dont les organisations structurent et gèrent le leadership en matière de cybersécurité. Des descriptions de poste étendues, des responsabilités floues et des modèles opérationnels dépassés ont donné l’impression qu’il n’y a pas assez de personnes qualifiées pour occuper les postes de RSSI. En réalité, de nombreuses organisations définissent le poste de manière trop étroite ou attendent trop d’une seule personne.

La cybersécurité moderne exige de l’agilité. Certaines organisations répartissent les responsabilités en matière de cybersécurité entre plusieurs cadres, tandis que d’autres utilisent des modèles de leadership partagé ou fractionné. Ces approches, autrefois considérées comme des mesures temporaires, font de plus en plus partie de la stratégie standard des entreprises. Elles permettent aux entreprises d’augmenter plus efficacement leur capacité de leadership et de s’adapter à l’évolution de l’environnement des risques. Cela signifie également que la définition de ce qu’est un « RSSI » est en train de changer, passant d’une identité basée sur le rôle à une identité basée sur la fonction.

Pour les décideurs, cela nécessite une réévaluation de la structure plutôt que de se concentrer sur la panique du recrutement. L’objectif devrait être de concevoir des systèmes de leadership qui soient résilients, flexibles et adaptés à la maturité réelle de l’organisation. Les entreprises qui investissent dans le développement des talents et la planification de la succession interne peuvent éviter de dépendre d’un marché de l’emploi trop tendu. Elles peuvent également instaurer une culture de responsabilité partagée en matière de cybersécurité, qui s’étend à l’ensemble de l’équipe dirigeante et non à une seule personne.

Le monde ne manque pas de professionnels de la sécurité compétents, il manque de stratégies cohérentes pour les déployer efficacement. Les équipes de direction devraient aller au-delà de la description de la pénurie et donner la priorité à la clarté structurelle, aux pipelines de leadership et aux modèles de gouvernance évolutifs. Ce faisant, elles renforcent à la fois la continuité du leadership et la posture de sécurité de l’organisation, quelles que soient les fluctuations du marché en matière de disponibilité des RSSI.

Principaux faits marquants

• Réévaluez le rôle du RSSI avant de recruter de nouveaux responsables : La pénurie perçue de RSSI est souvent due à des attentes surchargées et à une mauvaise conception du rôle. Les dirigeants devraient rationaliser les responsabilités et les structures de soutien avant de supposer une pénurie de talents.
• Reconnaissez que les défis en matière de recrutement sont inégaux selon les secteurs d’activité : Toutes les organisations ne sont pas confrontées à une pénurie de dirigeants dans le domaine de la cybersécurité. Les dirigeants doivent adapter leurs stratégies de recrutement à la taille de l’entreprise, au marché et au secteur d’activité plutôt que de suivre les grandes tendances.
• Redéfinir les qualifications des RSSI pour mettre l’accent sur le leadership plutôt que sur les compétences : Des exigences professionnelles trop élevées réduisent le nombre de candidats et augmentent le taux de rotation. Les dirigeants devraient se concentrer sur la capacité de prise de décision, la communication et la résilience, tout en développant des filières internes de leadership.
• Envisagez des structures de direction intégrées lorsque c’est possible : Combiner les responsabilités du DSI et du RSSI peut améliorer l’alignement et l’efficacité dans les entreprises de taille moyenne. Les dirigeants doivent en faire un choix de conception conscient, en veillant à ce que l’attention et la responsabilité restent équilibrées.
• Adopter des modèles de sécurité hybrides pour étendre les capacités internes : L’utilisation de MSSP et de vCISO permet aux organisations d’étendre leurs opérations de sécurité sans perdre le contrôle stratégique. Les dirigeants doivent maintenir un contrôle clair et une appropriation interne des décisions clés en matière de sécurité.
• Recadrer la « pénurie de RSSI » comme un défi de conception organisationnelle : le problème est structurel et ne concerne pas uniquement les effectifs. Les dirigeants devraient renforcer la planification interne de la succession, clarifier la propriété de la cybersécurité et concevoir des rôles qui favorisent la durabilité plutôt que des performances irréalistes.