Cybersécurité : les RSSI sont-ils proches du burn-out ?

Face à la sophistication continue des menaces et au rôle de plus en plus crucial joué en entreprise, une renouvellement du métier de RSSI doit avoir lieu.

Face à la sophistication croissante des méthodes cybercriminelles et à la diversité des menaces, le rôle du RSSI (ou CISO) devient de plus en plus exigeant, entraînant un niveau de stress élevé, voire même un épuisement professionnel. Un rapport de Gartner publié en 2023 révèle que près de la moitié des responsables de la sécurité devraient changer d'emploi d'ici à 2025, dont 25 % pour des rôles complètement différents, en raison des facteurs de stress.

Comment renverser la balance ? Quelles solutions les entreprises peuvent-elles envisager afin de préserver leurs équipes ? À mesure que la pénurie de talents s’intensifie, une redéfinition du rôle du RSSI semble s’imposer. 

Des conséquences néfastes sur la santé

Ces dernières années, en raison des conditions macroéconomiques, de nombreuses organisations ont été touchées par la « grande démission », les pressions de la numérisation croissante et les défis de sécurité qu’engendre la généralisation du travail à distance. La fonction de RSSI n’échappe pas à ce phénomène.

En 2021, le malaise dans cette profession était déjà palpable : 52% des responsables sécurité se sentaient en permanence sur le qui-vive et 28% se sentaient découragés devant l’augmentation de la fréquence et de l’efficacité des cyberattaques, selon une étude menée par le CESIN. 

Or aujourd’hui, la situation n’a guère évolué, voire, s’est même dégradée. Et ce "stress des RSSI" constitue un véritable frein pour le secteur. Les risques juridiques liés à ce rôle ont augmenté et constituent une source de stress supplémentaire. Le manque d’assurance D&I commune pour les responsables de la sécurité constitue un véritable angle mort. Bien que les estimations sur la durée d'emploi des RSSI varient, elles demeurent relativement courtes - fréquemment de 18 mois à 4,5 ans environ – contrairement à la moyenne des autres cadres. En effet, en raison d'un épuisement professionnel, de nombreux RSSI démissionnent et, par effet boule de neige, les autres salariés sont contraints d'assumer des tâches et un stress supplémentaires, entraînant davantage de démissions.

Conséquences : des horaires de travail prolongés – avoisinant parfois les 65 heures par semaine – avec une responsabilité et une charge mentale souvent trop lourdes. 

Redéfinir le rôle des RSSI

A la vue de toutes ses conséquences, les entreprises doivent revoir l'image qu’elle ont ou qu’elle se font du RSSI et surtout reconnaître que « surmenage » n’est pas forcément synonyme de « réussite ».

Dans un communiqué, Yann Ofanowski, accompagnant de dirigeants, spécialisé en stress des organisations, et co-auteur du rapport CESIN 2023 souligne : « Le stress de la fonction cyber est d’abord un symptôme. C’est le symptôme d’un système organisationnel sous pression où l’entreprise dans son ensemble va […]repousser la responsabilité du danger. Or, ces derniers ne sont pas responsables du danger, ils sont uniquement responsables du système de défense ».

En effet, la redéfinition du rôle de RSSI passe également par une réévaluation de ses responsabilités. Un dirigeant doit être conscient que des cyberattaques sont susceptibles de survenir au sein de son entreprise. L'occurrence de ces attaques ne représente pas nécessairement un échec pour le RSSI. Les compétences d'un RSSI doivent être évaluées en fonction de sa capacité à réagir face au problème, plutôt que de la simple existence du problème en lui-même. Par ailleurs, le RSSI ne peut assumer seul l'ensemble des missions, d'où l'importance d'avoir une équipe stable et compétente à ses côtés.

Des mesures simples telles que l'automatisation de certaines tâches par l'intelligence artificielle peuvent également faciliter le travail quotidien du RSSI. Sans pour autant remplacer l’expertise humaine,  le domaine de la cybersécurité a énormément progressé ces dernières années dans plusieurs disciplines dont l'automatisation, les analyses statistiques et l’IA pour surveiller, filtrer et prioriser les alertes cybernétiques, tout en suggérant des solutions pour résoudre des problèmes spécifiques.

Face à la pénurie de talents, les entreprises n’ont d’autre choix que de remettre en question leurs pratiques en matière de cybersécurité. Augmenter les effectifs, avoir recours à l’externalisation, réorganiser les heures de travail, revaloriser le salaire, proposer un soutien psychologique… Comme dit le vieil adage, « personne ne prend soin de vous mieux que vous ». Les RSSI feraient bien d'en prendre conscience d’en prendre conscience et de demander à disposer des ressources dont ils ont besoin pour être efficaces tout en contribuant à la concrétisation des objectifs de l'entreprise. Et qui sait, l’augmentation du budget consacré à la cybersécurité annoncée pour 2024 ouvrira peut-être la porte à de nouvelles opportunités pour les RSSI ?