Recherche

Stress des RSSI : et si on commençait par dire CISO ?

Dans la continuité de son enquête sur le stress des RSSI, le Cesin en a étudié les causes et propose des pistes de résolution.

Publié par Clément Bohic le | Mis à jour le
Lecture
3 min
  • Imprimer
Stress des RSSI : et si on commençait par dire CISO ?

Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :

- Contexte de combat et d'adversité
- Part importante d'incertitude et d'inconnu au quotidien
- Complexité et évolutivité de la fonction
- Relation à la responsabilité et à la culpabilité

Le groupe de travail constitué pour approfondir la réflexion s'est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.

L'une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu'il convient d'y renoncer. Motif : cela sous-entend une approche en termes d'obligation de résultats... alors même que ces derniers « [ne sont] que l'aboutissement d'actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l'acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».

Le RSSI, du « super-héros » au « business partner »

Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au coeur de l'une d'elles. Le RSSI se sent investi d'un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »... et dont le reste de l'entreprise s'accommode volontiers.
La solution. « Faire le deuil » de cette posture et l'oriente vers un rôle de « business partner ». Tout en acceptant l'incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?

Il appartient plus globalement au RSSI d'accepter de ne pas maîtriser l'intégralité des systèmes organisationnels, humains et techniques dans lesquels il évolue. Cela implique de développer des capacités de « leadership de la complexité » :

Quant à la considération du métier, le CESIN souligne un paradoxe : comment un rôle de « sauveur » peut-il souffrir d'un tel manque de reconnaissance ? Hypothèse : il existe un décalage entre les attentes des métiers et celles des RSSI. Piste : ce serait à ce dernier de coordonner l'alignement, dans son rôle de « business partner ».

* Situations auxquelles le CESIN propose des pistes de résolution, orientées à la fois sur la gestion du problème et des émotions.
À consulter en complément, d'autres études (Nominet, Deep Instinct) sur le sujet du stress des fonctions cyber.

Illustration © robsonphoto - Adobe Stock

Les Podcasts de Splunk
sponsorisé
[Episode en public] Les leçons de résilience d’OVH

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page