Rétrospective sur le rôle du RSSI - une reconnaissance encore attendue ?

Il y a plus de 10 ans, “Le Cercle” plus connu sous le nom Les Assises publiait deux lettres fictives mais néanmoins poignantes :

La première, écrite par Théo, un enfant soucieux du bien-être de son père, mettait en lumière les tensions personnelles et professionnelles auxquelles son père faisait face en tant que RSSI.

Le garçon exprimait son désir sincère de voir son père heureux et reconnu dans son travail, tout en demandant au Père Noël des cadeaux intangibles pour lui : la reconnaissance et les ressources nécessaires pour accomplir ses missions.

La seconde lettre, supposément du Père Noël, était adressée à Gérard RIO , un acteur toujours aussi influent aujourd’hui qu’à l’époque dans la communauté de la cybersécurité.

Elle reconnaissait les limites des solutions matérielles et logicielles face aux besoins humains et professionnels du RSSI.

Le Père Noël soulignait la nécessité de rétablir des relations solides, de gagner la confiance des différents départements, et de changer la perception du rôle du RSSI dans l’entreprise.

En d’autres termes, il suggérait aux RSSI d’abandonner le rôle du Grinch technologique et de devenir des magiciens de la communication, capables de transformer un risque cyber en impact business comme par magie. Cette lettre portait également un petit clin d’oeil à la naissance du CESIN , cité comme le club le plus en vogue du moment.

Fin 2023, le CESIN dévoilait son rapport intitulé “Apprivoiser le stress cyber” et nous rappelait que peu de choses ont changé. Les RSSI sont toujours confrontés à une pression énorme, tiraillés entre des attentes démesurées et des moyens insuffisants.

Apparemment, demander plus de budget pour la sécurité reste aussi populaire qu’une demande de vacances supplémentaires en plein audit annuel.

Ce rapport révélait également des niveaux de stress préoccupants et mettait en lumière les mêmes besoins de reconnaissance et de soutien évoqués il y a plus d’une décennie.

La fonction RSSI évolue dans un contexte de complexité croissante et d’incertitude constante. Le besoin de compétences en “leadership de la complexité” n’a jamais été aussi crucial. Pourtant, les RSSI se sentent encore et à juste titre souvent isolés, mal compris, et sous-équipés pour répondre aux attentes des organisations.

En 2024, IT for Business titrait un article « Les RSSI vont devoir changer de disque » et pointait les difficultés du RSSI à traduire les risques techniques en impacts business et à communiquer avec sa Direction Générale. Bref, il serait en partie responsable de ce qu’il ne récolte pas !

Aujourd’hui, les RSSI n’hésitent plus à témoigner de leur mal être, voire communiquent largement sur leur burn-out.

Les RSSI sont en première ligne pour protéger les actifs numériques de nos entreprises, mais qui s’occupe vraiment d’eux ? Clubs, forums offrent parfois un peu de répit et permettent à ces professionnels d’échanger avec leurs pairs dans un cadre convivial et de se ressourcer loin des pressions quotidiennes.

La famille RIO avec le Concordance Club ne manque pas de marquer encore des points en organisant régulièrement des soirées de détente et de networking dédiées aux RSSI.

Mais, il est temps de prendre réellement au sérieux ces appels à l’aide en offrant aux RSSI des temps de respiration et de formations spécialement conçues pour répondre à leurs besoins (en parallèle des formations purement métier, déjà proposées) et en mettant à leur disposition les moyens et les ressources nécessaires à la réussite de leur mission : autant de signes de reconnaissance permettant aux RSSI d’exceller sans pour autant sacrifier leur bien-être.

Le parcours vers une véritable résilience de la fonction cyber passe par la valorisation des hommes et des femmes qui la portent.

Parce qu’en fin de compte, être un super-héros de la cybersécurité, c’est bien, mais être un super-héros épanoui, c’est encore mieux. Et dans un cercle vertueux, les organisations en récolteront directement les fruits.