Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :
– Contexte de combat et d’adversité
– Part importante d’incertitude et d’inconnu au quotidien
– Complexité et évolutivité de la fonction
– Relation à la responsabilité et à la culpabilité
Le groupe de travail constitué pour approfondir la réflexion s’est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.
L’une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu’il convient d’y renoncer. Motif : cela sous-entend une approche en termes d’obligation de résultats… alors même que ces derniers « [ne sont] que l’aboutissement d’actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l’acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».
Le RSSI, du « super-héros » au « business partner »
Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au cœur de l’une d’elles. Le RSSI se sent investi d’un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »… et dont le reste de l’entreprise s’accommode volontiers.
La solution. « Faire le deuil » de cette posture et l’oriente vers un rôle de « business partner ». Tout en acceptant l’incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?