Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :
– Contexte de combat et d’adversité
– Part importante d’incertitude et d’inconnu au quotidien
– Complexité et évolutivité de la fonction
– Relation à la responsabilité et à la culpabilité
Le groupe de travail constitué pour approfondir la réflexion s’est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.
L’une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu’il convient d’y renoncer. Motif : cela sous-entend une approche en termes d’obligation de résultats… alors même que ces derniers « [ne sont] que l’aboutissement d’actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l’acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».
Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au cœur de l’une d’elles. Le RSSI se sent investi d’un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »… et dont le reste de l’entreprise s’accommode volontiers.
La solution. « Faire le deuil » de cette posture et l’oriente vers un rôle de « business partner ». Tout en acceptant l’incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?
Il appartient plus globalement au RSSI d’accepter de ne pas maîtriser l’intégralité des systèmes organisationnels, humains et techniques dans lesquels il évolue. Cela implique de développer des capacités de « leadership de la complexité » :
Quant à la considération du métier, le CESIN souligne un paradoxe : comment un rôle de « sauveur » peut-il souffrir d’un tel manque de reconnaissance ? Hypothèse : il existe un décalage entre les attentes des métiers et celles des RSSI. Piste : ce serait à ce dernier de coordonner l’alignement, dans son rôle de « business partner ».
* Situations auxquelles le CESIN propose des pistes de résolution, orientées à la fois sur la gestion du problème et des émotions.
À consulter en complément, d’autres études (Nominet, Deep Instinct) sur le sujet du stress des fonctions cyber.
Illustration © robsonphoto – Adobe Stock
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
