Paie

Salaire dans la cybersécurité : une diversité des pratiques selon les organisations

Par Philippe Guerrier | Le | Rémunération

Une enquête du Cesin par OpinionWay engloble un volet rémunération des responsables cybersécurité (ou RSSI). « Difficile d’avoir une vue uniformisée », selon Alain Bouillé, délégué général de l’association professionnelle des experts de la sécurité de l’information et du numérique.

84 % des responsables cybersécurité se déclarent « satisfaits » de leur travail actuel - © D.R.
84 % des responsables cybersécurité se déclarent « satisfaits » de leur travail actuel - © D.R.

L’enquête Cesin-OpinionWay de juin 2024 sur la rémunération et le positionnement organisationnel des responsables cybersécurité montre une « hétérogénéité des pratiques de recrutement avec des propositions de niveaux de salaires qui frisent parfois l’indécence », selon Alain Bouillé, délégué général du Cesin du nom d’une association professionnelle qui regroupe des experts de la sécurité de l’information et du numérique.

Le niveau de rémunération peut varier considérablement en fonction de plusieurs critères : âge, expérience, taille d’entreprise, secteur d’activité.

« Il faut également prendre en compte le récent effet inflationniste qui gomme la réelle augmentation », nuance Alain Bouillé.

Voici les principaux enseignements sur le volet rémunération de l’enquête Cesin-OpinionWay.

Tranches de niveaux de salaires

Rémunération fixe moyenne d’un responsable cybersécurité - © OpinionWay-CESIN
Rémunération fixe moyenne d’un responsable cybersécurité - © OpinionWay-CESIN

En 2023,

  • le salaire annuel fixe moyen (en brut avant impôts) pour les responsables de cybersécurité se situe à 96 543 euros (vs 88 342 euros en 2020) ;
  • le salaire médian est de 90 000 euros.

33 % du panel des responsables de cybersécurité interrogés disposent d’une rémunération supérieure à 105 000 euros.

Sous l’angle du périmètre géographique, il existe aussi des différences. Ainsi, la rémunération moyenne fixe des RSSI se situe à :

  • 85 000 euros pour une entreprise nationale française ;
  • 90 000 euros pour une entreprise européenne ;
  • 110 000 euros pour une entreprise internationale.

« Il ne faut pas se fier uniquement à l’étiquette uniformisée de RSSI. Les rémunérations dépendent de la taille de l’organisation. Les missions sont différentes si un RSSI évolue dans une PME, dans une grande entreprise ou une collectivité locale », déclare Alain Bouillé.

  • 63 % se disent satisfaits de leur rémunération, 37 % se déclarent insatisfaits ;

  • 56 % estiment que la rémunération actuelle moyenne du métier cyber est « normalement positionnée » par rapport à d’autres fonctions de l’entreprise. Mais 38 % considèrent qu’elle est insuffisante.

Impact de l’inflation sur les salaires depuis 2021

  • 35 % des responsables de cybersécurité déclarent avoir bénéficié d’une hausse de leur salaire de plus de 10 % ;

  • 32 % déclarent avoir bénéficié d’une hausse de leur salaire située entre 5 % et 10 % ;

  • 31 % déclarent avoir bénéficié d’une hausse de moins de 5 % ;

  • 12 % déclarent que leur salaire est resté stable, hors inflation.

Bonus

Au-delà de la rémunération fixe :

  • 71 % des responsables cybersécurité ont touché une part variable en 2023. Pour 33 % d’entre eux, elle correspond à plus de 10 % de leur rémunération.

  • 66 % bénéficient d’autres avantages supplémentaires :
    • intéressement (55 %) ;
    • voiture de fonction (19 %) ;
    • autres (16 %).

Conditions de travail

  • 84 % des responsables cybersécurité se déclarent « satisfaits » de leur travail actuel, dont 25 % « très satisfaits » ;

  • 16 % estiment « ne pas être satisfaits » de leur travail actuel ;

  • La diversité des sujets à traiter (31 %) et transversalité de la fonction (29 %) sont les deux paramètres ayant le plus d’influence sur leur motivation.

  • Leurs activités principales sont pour 80 % d’entre eux :
    • les analyses de risques (92 %) ;
    • les politiques de sécurité (89 %) ;
    • la sensibilisation (86 %) ;
    • la sécurité offensive (80 %).

Il existe un risque de départ en visant des postes de CISO ou de directeur cyber sur des périmètres à plus grandes responsabilités.

  • 66 % d’entre eux envisagent de changer d’organisation ;

  • 24 % se déclarent certains de le faire.

« Il y a deux catégories de personnes qui évoluent dans la cyber :

  • ceux qui restent dans le domaine pendant toute leur carrière, quitte à changer de société pour relever de nouveaux défis ou disposer d’un salaire plus élevé ;

  • ceux qui effectuent un parcours dans la cyber au démarrage et qui se reconvertissent dans un autre domaine à cause de la charge de travail et/ou du stress », déclare Alain Bouillé.

Primauté des compétences techniques

• « Je trouve que nous revenons à des choses plus concrètes : c’est difficile d’être crédible dans la fonction de RSSI si l’on ne dispose pas d’une connaissance technique pointue.

• Les CISO américains ont toujours été plus techniques que les CISO européens et français.

• Cette tendance, qui souligne les vertus des compétences techniques affinées, se confirme dans notre étude », déclare Alain Bouillé.

Recrutement

À la question « À cause de la pénurie de talents en cybersécurité, rencontrez-vous des difficultés de recrutement de talents cyber, 74 % répondent oui et 26 % répondent non.

  • «Le secteur de la cybersécurité se trouve dans une situation similaire à celle de la médecine : nous ne formons pas assez de spécialistes cyber. Nous nous débrouillons pour faire de la reconversion de personnes qui ont des postes dans l’informatique classique, comme les développeurs ou les techniciens réseaux.

  • Le marché demeure fortement tendu, car le vivier est restreint. Les écoles ne forment pas assez de nouveaux professionnels et les fournisseurs de services de cybersécurité recrutent en masse de leur côté, ce qui assèche encore un peu plus le sourcing ;
  • Il existe une kyrielle d’écoles de formation dans la cyber, mais il est difficile de distinguer leurs offres. Le paysage s’est considérablement étoffé ces dernières années. Il manque une cartographie en la matière pour s’y retrouver dans la filière », déclare Alain Bouillé.

Il existe aussi des problématiques de mobilité professionnelle.

  • « Parfois, les profils cyber traversent le miroir : après avoir démarré leur parcours chez des offreurs de services de cybersécurité, ils basculent ensuite vers des postes de RSSI au sein des entreprises dont les directions préfèrent recruter des professionnels aguerris ;

  • Ces problèmes de recrutement sont également géographiques, avec des personnes en province qui hésitent à rejoindre la région parisienne par crainte de perdre en qualité de vie ou, à l’inverse, des Franciliens qui hésitent à rejoindre la province à cause de niveaux de salaire jugés trop bas », déclare Alain Bouillé.

Méthode

• Étude OpinionWay réalisée auprès d’un échantillon de 390 responsables en cybersécurité ou équivalent parmi les entreprises membres du Cesin, sur la base d’un fichier de 838 contacts du Cesin.

• Échantillon interrogé par questionnaire auto-administré en ligne sur système CAWI ;


• Interviews réalisées du 20/05/2024 au 17/06/2024.

• Pour télécharger l’étude intégrale sur la rémunération et le positionnement organisationnel des responsables cybersécurité - 2024 (enquête OpinionWay pour le Cesin)