Il faudrait sans doute rappeler à ton RSSI que la compromission d'un élément du réseau peu suffire à tout casser. Qu'une ip avec un soft qui se fait casser les pattes soit sur un serveur ou un poste ca ne change pas souvent grand chose modulo quelques règles firewall et encore.
Si ton processus tourne sur un serveur un minimum travaillé pour la sécurité et sur un utilisateur dédié c'est bien plus secure que sur un poste client où y aura des chances que l'utilisateur soit en plus admin sur son poste.
Je pense pouvoir me risquer de dire que ton RSSI vient soit de l'informatique avec un bagage faible soit a été parachuté à ce poste sans connaissances particulière. Un poste de travail qui pête c'est toujours moins grâve aux yeux de la direction qu'un serveur ...