Dans la continuité de son enquête sur le stress des RSSI, le Cesin en a étudié les causes et propose des pistes de résolution.
Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :
– Contexte de combat et d’adversité
– Part importante d’incertitude et d’inconnu au quotidien
– Complexité et évolutivité de la fonction
– Relation à la responsabilité et à la culpabilité
Le groupe de travail constitué pour approfondir la réflexion s’est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.
L’une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu’il convient d’y renoncer. Motif : cela sous-entend une approche en termes d’obligation de résultats… alors même que ces derniers « [ne sont] que l’aboutissement d’actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l’acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».
Le RSSI, du « super-héros » au « business partner »
Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au cœur de l’une d’elles. Le RSSI se sent investi d’un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »… et dont le reste de l’entreprise s’accommode volontiers.
La solution. « Faire le deuil » de cette posture et l’oriente vers un rôle de « business partner ». Tout en acceptant l’incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
