Des RSSI en stress et à la limite du burnout.

Secu

Stress dans l’IT : Des RSSI toujours sous pression

Par Laurent Delattre, publié le 30 novembre 2023

L’an dernier déjà, le CESIN s’inquiétait d’une certaine lassitude des RSSI face à la multiplicité des attaques et à celle des vulnérabilités des logiciels et systèmes. Après une année 2023 plutôt noire, un nouveau rapport du CESIN s’inquiète du niveau de stress toujours très élevé chez les RSSI… Une publication qui doit aussi interpeller les DSI et les dirigeants des entreprises…

Le CESIN (Club des experts de la sécurité de l’information et du numérique) a publié cette semaine un petit guide à destination des RSSI et autres responsables de la cybersécurité mais aussi des entreprises : « Apprivoiser le stress cyber ». Ce rapport met en lumière deux tendances fortes, deux causes fondamentales d’un stress croissant chez les RSSI : une responsabilité lourde, car assumée seule face à un défi très complexe et la nécessité d’adopter de nouvelles postures pour être force d’influence stratégique et de conduite du changement face à des menaces toujours plus diverses.

Le guide souligne ainsi à quel point les RSSI se sentent souvent isolés face à la lourde responsabilité du risque cyber. Une indéniable source de stress. Le Cesin suggère de redéfinir le rôle des RSSI, en passant d’un rôle assez unique de gestionnaire de risque à celui d’un conseiller et support pour différents métiers. Dis autrement, il est temps de voir le RSSI comme un conseiller de la cybersécurité des différents métiers dans l’entreprise plutôt que comme le bouc-émissaire de tout incident.

Et pour cela, il est de voir le RSSI non comme une personne mais plus comme une entité à l’aura transversale similaire à la DSI mais sur toutes les questions de cybersécurité. Et dès lors de fournir à cette entité un vrai budget et surtout un budget en augmentation, un renforcement des équipes cyber, et de nouvelles ressources.

Parallèlement, les RSSI doivent accroître leurs compétences en communication pour mieux intégrer les aspects politiques et stratégiques de leur fonction.

L’essentiel du rapport reste cependant centré sur la montée – signalée par plusieurs autres rapports – des burn-out chez les RSSI. Le rapport identifie d’ailleurs quatre facteurs à ce burn-out :
le contexte de combat et d’adversité qui s’est aggravé avec les ransomwares à double extorsion et les attaques sponsorisées par les États,
la nature changeante et incertaine de la cybersécurité qui engendre beaucoup d’inconnues dans les équations quotidiennes pour mettre en place la cyber-résilience attendue,
–  la complexité de la fonction induite par la complexité de la tâche (la cybersécurité ce n’est jamais simple),
–  la relation à la responsabilité et la culpabilité.

Pour alléger ce stress, cette pression permanente sur les épaules des RSSI, le rapport invite notamment les RSSI à changer de mode mental afin de mieux reconnaître leur état de stress, identifier précisément la source du stress à un moment donné, et basculer en mode mental adaptatif.


À LIRE AUSSI :


Selon le rapport, « la bonne attitude est donc de se décentrer, de s’extraire de la pulsion de contrôle sur le résultat, et d’accepter pleinement le risque d’échec qui est, ni plus ni moins, une réalité, ainsi que ses possibles conséquences… Il s’agit de la capacité à s’ouvrir, physiquement et mentalement, à l’imprévu, à ce qui ne se passe pas comme on le voudrait. C’est la capacité d’accepter la survenue d’événements qui dérangent, d’accepter la réalité, toute la réalité, sans pour autant s’y soumettre ni s’y résigner. ».

Yann Ofanowski, co-auteur du rapport, rappelle ainsi que « Le stress de la fonction cyber est d’abord un symptôme. C’est le symptôme d’un système organisationnel sous pression où l’entreprise dans son ensemble va, de façon plus ou moins consciente, repousser la responsabilité du danger et de l’incertitude cyber vers les gardiens du temple, ie la fonction cyber. Or, ces derniers ne sont pas responsables du danger, ils sont uniquement responsables du système de défense. C’est une immense différence car le curseur de la responsabilité n’est pas situé au même endroit. Pour gagner en sérénité et impact, il faut donc aider les dirigeants cyber à réinventer leur rôle. Ils ne sont plus les sauveurs de l’entreprise mais plutôt les soutiens et conseillers des métiers. Cela signifie un changement d’état d’esprit et un changement dans la posture de leadership. »

Si chacun devra nécessairement adapter « à sa sauce » les conseils parfois un peu trop généralistes du rapport, ce dernier a quand même le mérite de mettre le doigt sur un phénomène qui ne cesse de prendre de l’ampleur depuis la fin de la pandémie (le burn-out des RSSI). Il expose aussi aux yeux de toutes les directionsl’importance du bien-être mental des responsables de la cybersécurité, souvent négligé malgré l’augmentation constante des menaces numériques. Et c’est déjà beaucoup…


À LIRE AUSSI :


À LIRE AUSSI :

Dans l'actualité