Les RSSI, stressés, mais pourquoi ? Une étude CESIN-Advens conduite en 2021 avait mis en lumière quatre grandes familles de facteurs contributifs. Nommément :
– Contexte de combat et d’adversité
– Part importante d’incertitude et d’inconnu au quotidien
– Complexité et évolutivité de la fonction
– Relation à la responsabilité et à la culpabilité
Le groupe de travail constitué pour approfondir la réflexion s’est penché sur des situations réelles* illustrant ces facteurs. Ses conclusions sont consignées dans un rapport « Apprivoiser le stress cyber » récemment rendu public.
L’une des lignes directrices dudit rapport porte sur la notion même de « responsable ». Le CESIN estime qu’il convient d’y renoncer. Motif : cela sous-entend une approche en termes d’obligation de résultats… alors même que ces derniers « [ne sont] que l’aboutissement d’actions systémiques dépassant largement le cadre du RSSI ». Et de faire référence à l’acronyme anglophone CISO (Chief Information Security Officer), qui marque une différence « subtile mais réelle ».
Le rapport identifie trois « causes racines » à ce stress. La notion de responsabilité est au cœur de l’une d’elles. Le RSSI se sent investi d’un rôle de « garant des résultats ». Une mission susceptible de le galvaniser (le CESIN parle de « posture de super-héros »)… et dont le reste de l’entreprise s’accommode volontiers.
La solution ? « Faire le deuil » de cette posture et l’orienter vers un rôle de « business partner ». Tout en acceptant l’incertitude. Un sujet « difficile, car non binaire » : à quoi bon investir dans la cybersécurité si on ne peut rien garantir ?
Il appartient plus globalement au RSSI d’accepter de ne pas maîtriser l’intégralité des systèmes organisationnels, humains et techniques dans lesquels il évolue. Cela implique de développer des capacités de « leadership de la complexité » :
Quant à la considération du métier, le CESIN souligne un paradoxe : comment un rôle de « sauveur » peut-il souffrir d’un tel manque de reconnaissance ? Hypothèse : il existe un décalage entre les attentes des métiers et celles des RSSI. Piste : ce serait à ce dernier de coordonner l’alignement, dans son rôle de « business partner ».
* Situations auxquelles le CESIN propose des pistes de résolution, orientées à la fois sur la gestion du problème et des émotions.
À consulter en complément, d’autres études (Nominet, Deep Instinct) sur le sujet du stress des fonctions cyber.
Illustration © robsonphoto – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…
