Pour gérer vos consentements :
Categories: Cybersécurité

Stress des RSSI : et si on commençait par dire CISO ?

Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :

– Contexte de combat et d’adversité
– Part importante d’incertitude et d’inconnu au quotidien
– Complexité et évolutivité de la fonction
– Relation à la responsabilité et à la culpabilité

Le groupe de travail constitué pour approfondir la réflexion s’est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.

L’une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu’il convient d’y renoncer. Motif : cela sous-entend une approche en termes d’obligation de résultats… alors même que ces derniers « [ne sont] que l’aboutissement d’actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l’acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».

Le RSSI, du « super-héros » au « business partner »

Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au cœur de l’une d’elles. Le RSSI se sent investi d’un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »)… et dont le reste de l’entreprise s’accommode volontiers.
La solution ? « Faire le deuil » de cette posture et l’orienter vers un rôle de « business partner ». Tout en acceptant l’incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?

Il appartient plus globalement au RSSI d’accepter de ne pas maîtriser l’intégralité des systèmes organisationnels, humains et techniques dans lesquels il évolue. Cela implique de développer des capacités de « leadership de la complexité » :

Quant à la considération du métier, le CESIN souligne un paradoxe : comment un rôle de « sauveur » peut-il souffrir d’un tel manque de reconnaissance ? Hypothèse : il existe un décalage entre les attentes des métiers et celles des RSSI. Piste : ce serait à ce dernier de coordonner l’alignement, dans son rôle de « business partner ».

* Situations auxquelles le CESIN propose des pistes de résolution, orientées à la fois sur la gestion du problème et des émotions.
À consulter en complément, d’autres études (Nominet, Deep Instinct) sur le sujet du stress des fonctions cyber.

Illustration © robsonphoto – Adobe Stock

Recent Posts

Les dacenters IA font exploser les émissions de CO2

L'expansion des centres de données pour le cloud et l'IA devrait produire 2,5 milliards de…

3 jours ago

OpenAI revendique 1 million de clients pour ses produits professionnels

Un an après le lancement de ChatGPT Enterprise, OpenAI revendique 1 million de clients professionnels.

3 jours ago

Un référentiel AFNOR pour l’IA « frugale »

60 organismes ont travaillé à la rédaction d'un document AFNOR regroupant une trentaine de pratiques…

3 jours ago

Safe Superintelligence Inc : la startup IA qui vaut déjà 5 milliards ?

Incarnée par Ilya Sutskever, Safe Superintelligence Inc a réalisé une levée de fonds stratosphérique de…

4 jours ago

Anthropic positionne Claude face à ChatGPT Enterprise

Un an après OpenAI avec ChatGPT, Anthropic lance une « formule entreprise » pour Claude.…

4 jours ago

Elasticsearch redevient open source… mais pas sous sa licence d’origine

Elasticsearch revient à l'open source non pas en réadoptant Apache 2.0, mais en proposant une…

4 jours ago