La charge mentale des RSSI est t-elle trop lourde à gérer face aux risques cyber en constante augmentation ? Il semblerait que oui selon un rapport mené par le Club des experts de la sécurité de l'information et du numérique (Cesin) sur la résistance au stress des responsables de la cybersécurité en France. Ce document fait suite à une enquête lancée en 2021, qui avait mis en lumière des niveaux de pression préoccupants au sein des RSSI. A l’issue des constats dressés auprès de ses membres, l'organisme a pris l'initiative de constituer un groupe de travail composé de dix volontaires, tous responsables de la cybersécurité en entreprise. Ce groupe a minutieusement exploré les sources de stress étroitement liées à la fonction dans la perspective de comprendre les causes spécifiques et d’élaborer des pistes de solutions. Les résultats de cette investigation collective ont été compilés dans un rapport intitulé : « Apprivoiser le stress cyber ».
On y apprend que la charge de la responsabilité du risque cyber est un défi complexe, avec une tendance de la fonction à assumer ce fardeau seule, malgré sa nature systémique. En conséquence, une immense pression pèse sur les épaules du RSSI et de ses équipes, puisqu’ils doivent tout gérer et tout décider pour tout le monde Les solutions au stress passent donc par un recadrage du rôle du RSSI vers une fonction de soutien et du conseil aux métiers. Dans ce document, le Cesin expose plusieurs scénarios emblématiques de burn-out et étudie les pistes de résolution sous deux angles, l’un centré sur le problème et l’autre sur les émotions. A ce titre, quatre situations réellement vécues par des RSSI illustrent les familles de critères les plus contributifs au stress pointés par l’étude Cyber-Stress de 2021.
L’exercice ci-dessus aide le RSSI à identifier ses craintes et actions possibles à réaliser. (Source : Cesin/Institute of Neurocognitivism)
Des efforts sur le budget, le renforcement des équipes et la communication
Le contexte de combat et d’adversité, la part importante d’incertitude et d’inconnu au quotidien, ainsi que la complexité et l’évolutivité de la fonction figurent parmi les expériences citées. La relation à la responsabilité et à la culpabilité est elle aussi évoquée. Des pistes sont alors proposées selon les différentes situations, comme le renforcement de l’équipe cyber existante par des ressources temporaires et/ou permanentes, l’octroi de budgets et de temps supplémentaires, la montée en compétences dans la communication fait aussi partie des suggestions afin d’intégrer pleinement les composantes politiques et stratégiques des RSSI. Le rapport suggère entre autres de mener un travail d’éducation visant à identifier des entreprises qui ont subi de sérieux dégâts cyber par manque d’investissement, et d’organiser des échanges et retours d’expériences.
Le Cesin propose aux RSSI de se décentrer d’une pression de résultat qui ne dépend pas de leur fonction. (Source : Cesin/Institute of Neurocognitivism)
Vers un allégement de la tâche des RSSI
La création d’un réseau de pairs afin de partager, réfléchir et explorer différentes pistes de réduction de la charge mentale des RSSI fait également partie des recommandations. Dans un communiqué Yann Ofanowski, accompagnant de dirigeants, spécialisé en stress des organisations, et co-auteur du rapport souligne : « Le stress de la fonction cyber est d’abord un symptôme. C’est le symptôme d’un système organisationnel sous pression où l’entreprise dans son ensemble va, de façon plus ou moins consciente, repousser la responsabilité du danger et de l’incertitude cyber vers les gardiens du temple, représentés par la fonction cyber. Or, ces derniers ne sont pas responsables du danger, ils sont uniquement responsables du système de défense ».
Pour gagner en sérénité et impact, le dirigeant estime qu’il faut donc aider les RSSI à réinventer leur mission et à évoluer vers un rôle de soutien et de conseiller des métiers. Cela signifie un changement d’état d’esprit et une évolution dans la posture des cadres dirigeants, juge ce dernier en conclusion.