Traditionnellement, Le RSSI, en revanche, est généralement positionné à un niveau opérationnel ou tactique. Il rapporte souvent au DSI (Directeur des Systèmes d’Information) ou à un autre membre intermédiaire de l'organisation. Cette position le place dans une hiérarchie opérationnelle, où il est chargé de mettre en œuvre les politiques de sécurité définies par la direction générale. Ce positionnement hiérarchique limite son accès aux discussions stratégiques et à la prise de décisions à haut niveau.

En tant que cadre dirigeant, le CISO, quant à lui, relève souvent directement du comité de direction, de la direction générale ou du PDG et fait partie des discussions stratégiques globales de l’entreprise. Cette position stratégique lui confère un pouvoir de décision plus important et lui permet d'influencer les décisions stratégiques de l'entreprise en matière de sécurité. Dans certains cas, ce positionnement lui permet aussi d'influencer les décisions clés et d'intégrer la cybersécurité dans les objectifs d'entreprise.

Le RSSI se concentre principalement sur les aspects techniques de la sécurité informatique. Il est chargé de mettre en place les outils et les procédures nécessaires pour protéger les systèmes d'information. Il est responsable de la mise en œuvre et de la gestion quotidienne des politiques et des outils de sécurité, tels que les pares-feux, les antivirus, et la détection des intrusions. Cela inclut la gestion des risques, la conformité réglementaire, la sensibilisation des employés, et la coordination entre les départements.

Le périmètre d'action du CISO est plus large. Il englobe non seulement les aspects techniques, mais également les aspects juridiques, réglementaires et de gouvernance. Il est chargé de définir la stratégie de sécurité de l'entreprise, de sensibiliser les employés et de gérer les risques. Il est garant de l'alignement stratégique de la cybersécurité avec les missions critiques prioritaires de l'entreprise. Cela implique une transversalité étendue sur les sujets variés tels que les risques d'entreprises, les obligations légales et réglementaires, la valeur ajoutée de la technologie entre autres.

Le RSSI, bien qu'expert en sécurité des systèmes d'information, est souvent contraint d'opérer dans un cadre défini par sa hiérarchie. Son pouvoir de décision est limité, notamment en ce qui concerne les investissements majeurs ou les changements stratégiques. Ses actions se concentrent principalement sur la mise en œuvre technique des mesures de sécurité et la gestion des incidents au quotidien. Son influence se fait ressentir principalement au niveau opérationnel, où son expertise est indispensable.

À l'inverse, le CISO bénéficie d'une plus grande autonomie décisionnelle. Sa vision stratégique de la cybersécurité lui permet d'influencer directement les orientations de l'entreprise en matière de sécurité. Il est en mesure de définir les priorités, d'allouer les budgets et de mobiliser les ressources nécessaires pour faire face aux menaces. Son pouvoir s'étend à l'ensemble de l'organisation, lui permettant d'imposer une culture de la sécurité et de prendre des décisions audacieuses.

Le RSSI est en première ligne pour identifier les besoins en matière de sécurité et défendre les investissements nécessaires. Toutefois, son pouvoir décisionnel sur le budget est souvent indirect. Il doit généralement argumenter et justifier chaque demande auprès de sa hiérarchie, ce qui peut limiter sa capacité à réagir rapidement aux nouvelles menaces. Bien que son expertise technique soit essentielle, le RSSI est souvent contraint de s'adapter aux décisions budgétaires prises à un niveau supérieur.

Le CISO, en tant que dirigeant stratégique, dispose généralement d'une vision plus globale de la sécurité de l'entreprise. Il est souvent impliqué dans la définition du budget annuel alloué à la cybersécurité et peut prioriser les investissements en fonction des risques identifiés. Son rôle lui confère un levier d'influence plus important sur les décisions budgétaires. Néanmoins, il doit également rendre des comptes à la direction générale et justifier les choix stratégiques en matière de sécurité.

L'argument selon lequel le RSSI n'est pas un rôle stratégique repose sur le fait que les RSSI ne sont généralement pas à des postes de direction. En étant rattachés à la direction informatique, ils sont davantage considérés comme des exécutants que comme des stratèges. Le CISO est un acteur stratégique, chargé d’aligner la cybersécurité sur les priorités globales de l’entreprise. À l’inverse, le RSSI est un opérateur tactique qui met en œuvre la stratégie de sécurité, souvent sous l'autorité d'autres responsables.

Cependant, cette vision est de plus en plus remise en question. Avec l'augmentation des cybermenaces, la sécurité informatique est devenue une priorité stratégique pour de nombreuses entreprises. De plus en plus d'organisations reconnaissent l'importance de donner au responsable de la sécurité un rôle plus stratégique. Malheureusement, beaucoup de sociétés et surtout les recruteurs considère le RSSI et le CISO comme étant interchangeables.

Bien que les rôles de RSSI et de CISO présentent des similitudes, leurs responsabilités et leur position au sein de l'organisation sont différentes. Le CISO, en raison de son rattachement direct à la direction générale, bénéficie d'un pouvoir de décision et d’une influence plus importants que le RSSI. Cependant, l'évolution des menaces et des enjeux liés à la sécurité informatique conduit à une redéfinition de ces rôles, et la distinction entre RSSI et CISO devient de plus en plus importante quand la cybersécurité devient stratégique pour l'entreprise.

Assimiler le RSSI au CISO, c’est ignorer l’importance des différences entre stratégie et opérationnel dans une organisation. Les deux rôles sont complémentaires mais non interchangeables. Si le CISO guide le navire avec le gouvernail, le RSSI s’assure que les voiles sont correctement ajustées pour atteindre les missions critiques prioritaires de l'entreprise.

Il est grand temps d'évangéliser le rôle de DSSI (Directeur Sécurité des Systèmes d'Information) comme équivalent français du CISO. Cette reconnaissance permettrait de clarifier les responsabilités, d'ancrer le rôle dans une dimension stratégique, et de donner à la cybersécurité le poids qu’elle mérite dans les organisations. Faire évoluer le titre et la perception de ce poste est une étape essentielle pour accompagner les entreprises face aux défis croissants de la cybersécurité.