Stress des RSSI : et si on commençait par dire CISO ?
Dans la continuité de son enquête sur le stress des RSSI, le Cesin en a étudié les causes et propose des pistes de résolution.
Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :
- Contexte de combat et d'adversité
- Part importante d'incertitude et d'inconnu au quotidien
- Complexité et évolutivité de la fonction
- Relation à la responsabilité et à la culpabilité
Le groupe de travail constitué pour approfondir la réflexion s'est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.
L'une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu'il convient d'y renoncer. Motif : cela sous-entend une approche en termes d'obligation de résultats... alors même que ces derniers « [ne sont] que l'aboutissement d'actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l'acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».
Le RSSI, du « super-héros » au « business partner »
Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au coeur de l'une d'elles. Le RSSI se sent investi d'un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »... et dont le reste de l'entreprise s'accommode volontiers.
La solution. « Faire le deuil » de cette posture et l'oriente vers un rôle de « business partner ». Tout en acceptant l'incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?
Il appartient plus globalement au RSSI d'accepter de ne pas maîtriser l'intégralité des systèmes organisationnels, humains et techniques dans lesquels il évolue. Cela implique de développer des capacités de « leadership de la complexité » :
Quant à la considération du métier, le CESIN souligne un paradoxe : comment un rôle de « sauveur » peut-il souffrir d'un tel manque de reconnaissance ? Hypothèse : il existe un décalage entre les attentes des métiers et celles des RSSI. Piste : ce serait à ce dernier de coordonner l'alignement, dans son rôle de « business partner ».
Lire aussi : Olivier Hoberdon - DSI Bouygues SA : « Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu »
* Situations auxquelles le CESIN propose des pistes de résolution, orientées à la fois sur la gestion du problème et des émotions.
À consulter en complément, d'autres études (Nominet, Deep Instinct) sur le sujet du stress des fonctions cyber.
Illustration © robsonphoto - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité