41 % des RSSI ne parviennent pas à évaluer le retour sur investissement de la cybersécurité

Splunk, spécialiste américain de l’analyse des données issues des SI, a publié, fin février 2026, un rapport sur la rentabilité de la cybersécurité en entreprise. L’enquête s’appuie sur les réponses de 650 RSSI à travers le monde. Elle révèle que 41 % d’entre eux se disent incapables de mesurer le retour sur investissement de leurs actions « de réduction des risques et de remédiation ».

Cette difficulté à chiffrer les gains générés par leur activité traduit souvent une communication défaillante avec la direction générale ou financière. Les répondants impliqués dans les décisions budgétaires sont d’ailleurs nettement plus nombreux à pouvoir en évaluer le retour sur investissement.

Les RSSI peinent également à faire valoir leur vision auprès de leur hiérarchie. Les trois quarts des répondants jugent ainsi que leurs dirigeants ont des attentes « irréalistes » concernant la vitesse de correction des vulnérabilités ou pour juger des conséquences d’une cyberattaque sur le chiffre d’affaires.

Le rapport met également en évidence la complexification du métier, pointée par 79 % des RSSI interrogés. Outre la sécurité informatique, 96 % d’entre eux gèrent désormais la gouvernance des risques liés à l’IA, et 85 % les enjeux liés au DevSecOps.