Rehackt Recrutement

Recruter un RSSI : ce que personne ne vous dit avant de signer le contrat

En septembre dernier, on a reçu un brief qui résumait à lui seul tout ce qui ne va pas dans le recrutement de RSSI en France. Une ETI industrielle, 800 collaborateurs, deux usines, un DSI fatigué : « On cherche un RSSI qui sait coder, qui a fait du pentest, qui maîtrise la conformité NIS 2, et qui pourra reprendre l’admin du firewall en attendant qu’on recrute l’ingénieur réseau. Budget 75 k€, basé en région. »

On a refusé le mandat.

Pas par snobisme. Parce que le profil décrit n’existe pas, ou plus exactement, parce que le profil décrit est trois personnes différentes, et qu’à 75 k€ on n’en trouve aucune des trois.

Ce brief, on en reçoit deux par mois en moyenne. Ils ne viennent pas de RH incompétents : ils viennent de dirigeants qui n’ont jamais recruté un RSSI, qui ne savent pas que ce métier s’est fragmenté en plusieurs postures distinctes ces cinq dernières années, et qui se font conseiller par des cabinets généralistes qui ne le savent pas non plus.

Cet article est ce qu’on aurait aimé pouvoir envoyer à ce DG-là avant qu’il poste son annonce.

Le RSSI que vous cherchez n’existe (probablement) pas

Il faut commencer par une vérité inconfortable : « RSSI » est devenu une catégorie fourre-tout. Quand un dirigeant nous appelle pour « recruter un RSSI », la première question qu’on lui pose est rarement la sienne. C’est : « vous avez besoin de quoi, exactement ? »

La réponse, neuf fois sur dix, révèle un mélange entre trois métiers très différents qui ont tous emprunté le même titre.

Le RSSI gouvernance est l’archétype historique. Il pilote la stratégie cyber de l’entreprise, dialogue avec le COMEX, arbitre les investissements, porte les enjeux NIS 2 ou DORA selon le secteur, anime les politiques de sécurité, supervise les audits. Il ne touche plus à un firewall depuis dix ans et c’est très bien comme ça. Sa valeur est dans sa capacité à transformer un risque cyber en sujet stratégique compréhensible par un Directeur Financier. Profil cible typique : ex-consultant cyber senior d’un Big 4 ou d’une ESN cyber pure, ex-architecte passé manager, ex-DSI reconverti après une attaque qui a marqué.

recruter un RSSI

Le RSSI opérationnel est plus jeune, souvent issu du SOC ou de l’AppSec, et a hérité du titre dans une PME ou ETI où il n’y avait pas le budget pour deux postes. Il fait à la fois de la stratégie et de la mise en œuvre. Il sait parler à un COMEX et configurer un EDR. Il existe mais il est rare et il coûte cher (plus cher qu’un RSSI gouvernance, paradoxalement, parce qu’il fait deux jobs et que ce profil hybride est moitié moins fréquent sur le marché).

Le RSSI à temps partagé est une option que les ETI sous-estiment massivement. Un RSSI senior qui consacre deux jours par semaine à votre entreprise sera presque toujours plus efficace qu’un RSSI junior à temps plein qui découvre le métier chez vous. La fourchette tourne autour de 900 à 1 200 euros par jour, soit grosso modo 90 à 120 k€ annualisés pour deux jours par semaine — un RSSI senior plein temps coûte 110 à 140 k€ chargés. La différence d’expertise est sans commune mesure. C’est probablement le format le plus rentable pour une ETI de 200 à 800 personnes qui n’a pas encore atteint la maturité cyber justifiant un poste plein.

Un brief honnête commence par identifier laquelle de ces trois postures vous cherchez. Le reste, fourchette salariale, durée de chasse, viviers à activer, découle de ce choix.

Trois profils, trois marchés salariaux

Voici les fourchettes qu’on observe sur les briefs validés et signés ces dernières années chez Rehackt, croisées avec les baromètres Wavestone, Hays Cyber et Clusif. Tout est en brut annuel hors variable.

Pour un RSSI gouvernance dans un grand groupe parisien, comptez 110 à 150 k€, avec une part variable de 15 à 25 %. À Paris on est sur le haut de la fourchette ; en province on perd 10 à 20 %, sauf pour les hubs cyber comme Rennes ou Sophia-Antipolis où le différentiel se réduit fortement parce que la concurrence locale est dense. Dans une ETI industrielle de 500 à 1 500 personnes, on tombe à 90-110 k€.

Pour un RSSI opérationnel en scaleup ou ETI tech, le marché est devenu fou : 100 à 140 k€ plus equity, avec des cas observés à 160 k€ pour des profils ayant déjà vécu une levée de série C ou un due diligence cyber côté investisseur. Les startups DeepTech à Saclay ou Toulouse paient en haut de fourchette parce qu’elles savent qu’un RSSI mal recruté à ce stade peut faire échouer une levée.

Pour un RSSI à temps partagé, comptez 900 à 1 100 euros par jour facturé pour un profil 8-12 ans d’expérience, 1 100 à 1 400 pour un ancien RSSI groupe. Ces tarifs incluent généralement un modèle de facturation au forfait mensuel souvent plus avantageux que le pur jour-homme, à condition que le mandat soit clairement borné.

recruter un RSSI

Le piège qu’on voit revenir tous les mois : un dirigeant qui calque sa fourchette RSSI sur celle de son DSI ou de son DAF. C’est une erreur de catégorie. Un RSSI senior se compare à un Directeur Cyber, pas à un Directeur Système d’Information. Le marché est différent, l’offre est trois fois plus rare, la demande explose depuis NIS 2. Sous-payer un RSSI, c’est garantir qu’il partira dans les dix-huit mois.

Et là, on en arrive au vrai sujet.

60 % des RSSI quittent leur poste dans les trois ans : autopsie d’une fuite

Le chiffre revient régulièrement dans les enquêtes secteur, le baromètre Wavestone parle d’environ trois ans de durée moyenne en poste, ce qui est très court pour une fonction de direction, et plusieurs cabinets confirment cette cadence. Au-delà du chiffre exact (qui dépend des panels et des secteurs), la tendance est nette : les RSSI tournent.

Pourquoi ? Trois raisons qu’on entend à peu près à chaque sortie de poste qu’on accompagne en outplacement.

Première raison : ils n’ont jamais eu de mandat clair. Le RSSI a été recruté pour « structurer la cyber », mais en pratique on lui demande de produire des rapports trimestriels au COMEX, de gérer les incidents en N1, et de remplir un fichier Excel pour la conformité ISO 27001 que personne ne lit. Au bout de dix-huit mois, il sait qu’il fait du théâtre. Il part.

Deuxième raison : ils ont sous-évalué leur propre marché à l’embauche. Beaucoup de RSSI ont accepté un package sous le marché parce qu’ils étaient sortis d’un poste précédent en burn-out, ou parce qu’ils faisaient confiance à un discours du type « on s’alignera après ta période d’essai ». L’alignement, neuf fois sur dix, n’arrive pas. Au bout de vingt-quatre mois, ils reçoivent une approche LinkedIn à +25 %. Ils partent.

Troisième raison : la fameuse asymétrie du COMEX. Un RSSI dépend politiquement de personnes qui ne comprennent pas son métier. Tant que rien ne se passe, il est jugé « trop cher » et « trop alarmiste ». Quand quelque chose se passe, il est jugé « pas assez vigilant ». Il n’y a pas d’équilibre possible sans un sponsor au COMEX qui comprend les enjeux. Quand le sponsor part, et les CFO/COO/DG tournent aussi, le RSSI part dans les six mois qui suivent. C’est mécanique.

Quand on accompagne un client sur un recrutement RSSI, ces trois sujets sont posés explicitement dans le brief. Si on n’a pas de réponse claire sur les trois, on alerte le client : ce n’est pas un problème de chasse, c’est un problème de poste. Recruter un RSSI sur un poste mal cadré, c’est recruter quelqu’un qu’on va devoir re-recruter dans deux ans. Coût total : deux fois les frais du cabinet, plus le coût d’opportunité d’un poste qui n’a pas vraiment avancé entre temps.

Le coût caché du recrutement raté

Parlons argent, parce que c’est rarement fait honnêtement.

Le coût visible d’un recrutement RSSI raté, c’est les honoraires de cabinet (généralement 20 à 25 % du salaire annuel, soit 22 à 38 k€ pour un poste à 110-150 k€), plus la charge interne (entretiens, onboarding) qu’on chiffre raisonnablement à 15-20 k€ pour un poste de cadre dirigeant.

Le coût invisible est dix fois supérieur. Un RSSI qui part au bout de quinze mois, c’est :

  • un poste vacant pendant 4 à 8 mois supplémentaires (durée moyenne de chasse RSSI : 4 à 6 mois, parfois 8 sur des profils très spécifiques type RSSI OT ou RSSI habilité Confidentiel Défense),
  • des projets cyber qui s’arrêtent ou qui dérivent (un audit ISO 27001 qui prend dix-huit mois au lieu de neuf, une mise en conformité NIS 2 qui glisse de deux trimestres, un appel d’offres SOC qu’on repousse),
  • un risque opérationnel qui s’accumule pendant l’absence,
  • une démotivation de l’équipe sécurité qui voit son n+1 partir,
  • une perte de mémoire institutionnelle sur des sujets souvent peu documentés.

On a accompagné l’an dernier un acteur du retail qui avait perdu son RSSI au bout de quatorze mois. Le coût total de l’épisode, mesuré en interne par leur DAF, dépassait 400 k€ — pour un poste à 105 k€. La leçon n’est pas qu’il faut payer plus. La leçon est qu’il faut briefer mieux, recruter avec plus d’exigence sur le contexte (et pas seulement sur le profil), et accepter que la durée de chasse soit longue plutôt que de transiger sur l’adéquation.

recruter un RSSI

Comment briefer un cabinet (ou comment savoir si vous êtes prêt-e à recruter)

Si vous lisez cet article en préparation d’un recrutement RSSI, voici le test que nous appliquons à chaque brief reçu. Si vous pouvez répondre clairement à ces sept questions, vous êtes prêt. Sinon, ce n’est pas un cabinet qu’il vous faut, c’est d’abord un travail interne.

  1. À qui le RSSI rapporte-t-il, et qui est son sponsor au COMEX ? Si la réponse est « le DSI » et que le DSI n’a pas de poids au COMEX, vous avez un problème structurel avant même d’avoir publié l’annonce.
  2. Quel est son périmètre exact : gouvernance, opérationnel, ou les deux ? Si « les deux », quelle est la répartition réaliste de son temps ? 80/20 ? 50/50 ? La réponse change le profil cible et la fourchette.
  3. Quels sont les trois objectifs concrets de ses douze premiers mois ? Si vous ne pouvez pas les nommer, le RSSI ne le pourra pas non plus, et il fera ce qu’il pense être attendu de lui, pas ce qui crée de la valeur pour vous.
  4. Quel est son budget annuel, hors masse salariale équipe ? Un RSSI sans budget est un RSSI qui produit des slides.
  5. Quelle est l’équipe sous sa responsabilité directe ou fonctionnelle ? Zéro personne signifie un poste de RSSI-consultant interne, pas un RSSI manager. Le profil et le salaire à viser sont radicalement différents.
  6. Quelle est votre fourchette réaliste, alignée sur le marché ? Si vous n’êtes pas sûr, relisez la section salaires plus haut, ou demandez-nous, on partage les fourchettes que nous observons sur les briefs en cours.
  7. Êtes-vous prêt à attendre quatre à six mois ? Si vous voulez un RSSI sous trente jours, vous prendrez ce que vous trouverez et vous le re-recruterez en 2027.

Un cabinet sérieux refusera votre mandat si trop de ces questions restent sans réponse claire. Pas par paresse, par honnêteté commerciale. On a refusé entre 15 et 20 % des briefs RSSI qu’on a reçus l’an dernier. La grande majorité de ces clients sont revenus six à douze mois plus tard, brief en main, et ces recrutements-là ont été ceux qui ont tenu.

Le mot de la fin…

Recruter un RSSI, ce n’est pas remplir une case. C’est embaucher quelqu’un dont la mission consiste à dire non à des demandes business pour de bonnes raisons, et oui à des investissements coûteux pour de bonnes raisons aussi. Si le poste n’est pas armé politiquement, financièrement et structurellement, le meilleur cabinet du monde ne pourra pas vous trouver le bon candidat, parce que les bons candidats refuseront le poste.

Le travail d’un cabinet spécialisé n’est pas seulement de chasser. C’est de challenger votre besoin avant de chasser. C’est ce qu’on essaie de faire chez Rehackt, avec parfois la maladresse de dire à un client que son brief n’est pas prêt, et la satisfaction, douze mois plus tard, de voir un recrutement qui tient.

Si vous préparez un recrutement RSSI et que vous voulez challenger votre brief avant de le diffuser, écrivez-nous. Le premier échange est sans engagement, et on vous dira honnêtement si on est le bon partenaire…. ou pas.

À lire ensuite sur le blog Rehackt

Les rubriques

Les derniers commentaires

Aucun commentaire à afficher.

Eva

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *