Le stress des RSSI, une réalité avec laquelle composer en 2026

Toujours en alerte, confrontés à des menaces qui se renouvellent sans cesse et à une avalanche de contraintes réglementaires, les RSSI vivent dans un état de tension permanente. Faut-il s’en inquiéter, ou au contraire voir dans ce stress un moteur de vigilance ? Leurs témoignages racontent en tout cas une profession sur le fil.

«La menace est omniprésente», rappelait encore l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans son dernier panorama. Et le 10e baromètre du CESIN paru en début d’année confirme que près d’une organisation sur deux a subi au moins une attaque réussie l’an dernier.
Mais loin de provoquer la panique, cette constance a forgé une sorte de réflexe : les RSSI savent qu’ils ne peuvent jamais baisser la garde. Comme le souligne Alain Bouillé, délégué général du CESIN, « la stabilité du nombre d’attaques traduit une maturité croissante des défenses ».

Un paradoxe subsiste pourtant : à force de vivre en état d’alerte, certains finissent par négliger certains signaux pourtant connus. L’Agence européenne de cybersécurité (ENISA) observe une recrudescence d’assauts sur la disponibilité – attaques DDoS, compromissions logiques – souvent préludes à des campagnes plus insidieuses. « Ce n’est plus un sprint, c’est une course de fond », résume un RSSI interrogé au détour d’un échange. Le stress entretient certes la vigilance, mais il l’érode aussi peu à peu.

Alors, faut-il voir dans cette tension un moteur ou un poison ? Les attaques évoluent plus vite que les budgets. Les ransomwares reculent grâce aux sauvegardes et aux EDR, mais les fraudes hybrides prospèrent : « arnaque au président » enrichie par des deepfakes, compromission via un fournisseur mal protégé, exploitation des failles cloud. À ce terrain technique s’ajoute un deuxième front : celui de la loi. NIS 2, DORA, RGPD… Autant de textes qui renforcent l’exigence documentaire. « Ce que demandent les régulateurs, ce sont des capacités vérifiables », insiste encore l’ANSSI. Logs, preuves, plans de continuité, notifications en 24 heures : l’exact contraire de l’improvisation.

Ne pas se tromper sur la mission du RSSI

Mais pour Franck Rouxel, vice-président de la Fédération Française de la Cybersécurité, expert SSI & ancien RSSI du ministère des Armées, l’essentiel est ailleurs. « L’impuissance est un facteur de stress majeur. Beaucoup de RSSI restent subordonnés à une DSI dont les priorités sont d’abord business. Ils ont l’impression d’être inaudibles, de n’avoir aucune prise. Et d’ajouter : Un RSSI n’est responsable de rien, c’est la direction générale qui l’est. Son rôle, c’est d’alerter et de conseiller. Mais si on transforme son RSSI en fusible, il se condamne à l’épuisement. »

Pour lui, les textes comme NIS 2 pourraient être vus comme une chance : « Si votre approche, c’est la conformité, vous vous épuisez. Mais mon objectif n’est pas d’être conforme à NIS 2 ; en revanche, elle va m’aider dans mon travail, parce que je suis dans une vraie logique de gestion des risques. »
En bref, utilisée comme appui, la réglementation devient une arme pour légitimer la démarche du RSSI auprès du Comex. Utilisée comme checklist, elle se transforme en usine à gaz anxiogène.

Comment, dès lors, tenir mentalement ? En changeant de posture, répond Frank Rouxel. « Vouloir qu’il n’y ait jamais d’attaque, c’est impossible. Le système est forcément troué. La mission du RSSI est de conseiller sur les risques, pas de garantir l’impossible. »
Accepter cette asymétrie permet déjà de reprendre de la distance. Mais il faut aussi apprendre à déléguer : « Sur une vraie compromission, avec une prod à plat, c’est du 24 heures sur 24. Si vous ne lâchez pas, vous explosez. Beaucoup de RSSI ne savent pas déléguer. Or, c’est vital. »

Prévoir la crise et sa gestion

L’hygiène compte autant que la technique : savoir couper, respirer, se ménager des espaces de décompression, mobiliser des prestataires de gestion de crise si nécessaire. Frank Rouxel cite en exemple la SNCF : « Leurs équipes sont staffées pré-crise, avec une maturité impressionnante. Recruter des profils rompus à la gestion de ces crises, ça rassure et ça réduit le stress. Mais il prévient : Lorsqu’elles se produisent, certains savent garder la tête froide, d’autres se figent comme un lapin dans les phares. Connaître ses limites et préparer un recours à des prestataires spécialisés : c’est aussi cela, l’hygiène de vie du RSSI. »

La dimension émotionnelle est aussi trop souvent sous-estimée. Un incident, c’est traumatisant. On le porte longtemps en soi. Cinq ans après la cyberattaque qui a plongé Marseille dans le chaos numérique, tout a été certes reconstruit et les procédures sont désormais rodées, mais les cicatrices demeurent : « Une telle épreuve ne s’efface jamais totalement, ni des systèmes, ni des mémoires », a témoigné il y a de cela quelques mois Jérôme Poggi, responsable de la sécurité des systèmes d’information de la Ville de Marseille, devant les équipes de Jérôme Notin et de cybermalveillance.gouv.fr.

Gemma Garcia Godall, coach en leadership et zone partner chez The Zone Global, le rappelle : « Mettre des mots sur la peur apaise l’amygdale », cette zone cérébrale qui déclenche la réaction de fuite ou de combat.
Dans une culture où exprimer ses émotions est encore perçu comme une faiblesse, surtout pour les hommes, ce non-dit aggrave l’anxiété chronique. D’où l’importance de parler, de partager, de transformer la peur en levier collectif. « Tout comme un ordinateur a besoin d’électricité pour fonctionner, nous avons besoin des émotions pour nous donner de l’énergie. Elles nous poussent à agir, elles mobilisent les équipes et elles peuvent déplacer le monde », ajoute-t-elle.

Le pire travail de la Terre ?

D’autres témoignages viennent compléter ce tableau. « Être CISO me détruisait à petit feu : les longues heures, la peur permanente d’avoir raté un détail. Passer au rôle de vCISO [virtual CISO, externalisé donc, NDLR] m’a rendu ma vie », confie Olivia Rose, fondatrice du Rose CISO Group et ancienne chief information security officer, dans le documentaire CISO : The Worst Job I Ever Wanted diffusé par CyberScoop en 2025.

D’après l’enquête CybersecurityTribe, 100 % des CISO jugent leur métier stressant ; 48 % déclarent un impact direct sur leur santé mentale, 40 % sur leur entourage familial, 31 % sur leur efficacité professionnelle. La bascule se fait quand le stress cesse d’être aigu – moteur – pour devenir chronique et destructeur.

Le stress n’est pas un ennemi, conclut Franck Rouxel. C’est un signal d’alerte, un sismographe. Aigu, il garde en éveil. Chronique, il use. « Le RSSI n’a pas vocation à porter seul la sécurité de l’entreprise. Son rôle est de mettre en garde et d’équiper le Comex pour décider. C’est là que le stress devient utile – quand il se transforme en énergie collective plutôt qu’en angoisse individuelle. »

Retrouvez le sommaire du grand dossier Cybersécurité : Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

À LIRE AUSSI :

Secu

Les RSSI en 2025 : un peu moins de stress mais toujours autant de défis

Laurent Delattre

6 Jan

À LIRE AUSSI :

Secu

Cyberattaque de Marseille : six mois d’enfer et un traumatisme toujours aussi présent !

Thierry Derouet

21 Fév

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !