48% des RSSI expliquent que le stress dû à leur poste impacte directement leur santé mentale. Et 40% déclarent que ce stress a une incidence sur les relations qu'ils entretiennent avec leur entourage. Pour 32% des RSSI, celui-ci met notamment à mal leur mariage. Tous ces chiffres nous viennent d'une étude Nominet. Autre information, selon Gartner cette fois, 26% des RSSI ont l'intention de changer de travail à cause de la pression. Une mauvaise nouvelle au vu du manque de bras en cybersécurité. Mais d'où vient ce mal-être des RSSI et surtout, comment y remédier ?

Un poste mal compris par les dirigeants

Tout d'abord, la vision qu'ont les dirigeants du poste de RSSI est souvent erronée et cela a une incidence directe sur leur RSSI et son bien-être. "Le rôle du RSSI est de diminuer le risque cyber, explique Farid Lahlou, co-fondateur du prestataire BonjourCyber. A aucun moment, il ne l'annule. Si un cybercriminel veut s'attaquer à votre compagnie, au bout d'un certain temps il finira par y arriver. Les dirigeants doivent comprendre que pour juger le bon travail d'un RSSI, il ne faut pas se baser sur la réussite d'une attaque, mais sur sa capacité à limiter les risques, via des produits ou des formations organisées pour les collaborateurs, et à mettre en place un plan de reprise d'activité. " Les dirigeants des entreprises doivent intégrer le fait que désormais, le risque cyber n'est plus hypothétique mais bien réel. Et la présence du RSSI ne dissuadera pas les cybercriminels… En comprenant ce facteur important, les cadres supérieurs pourraient alors relâcher la pression qu'ils mettent sur leur RSSI, ce qui diminuera son stress.

Un problème de positionnement dans la hiérarchie

L'autre facteur de stress chez les RSSI est la sensation de ne pas être entendus lorsqu'ils demandent plus de moyens. Souvent, ce sentiment reflète la réalité car les entreprises ont la mauvaise habitude de mettre le RSSI sous les ordres du DSI, ce qui génère des problèmes." Le RSSI peut pointer des lacunes au niveau de l'IT, note Franck Rouxel, co-fondateurs de l'Agora des RSSI et RSSI lui-même. Mais si le DSI remonte cette observation, il risque de se faire sanctionner donc il ne le fera peut-être pas et stoppera le rapport du RSSI à son niveau. C'est pour cela que le positionnement du RSSI est primordial. Regardez par exemple le positionnement du DPO (délégué de la protection des données, ndlr). Sur demande de la Cnil, il doit être autonome et conseiller les dirigeants. Les RSSI n'ont pas ce statut.

A cause d'un manque de règles établies, chaque entreprise est libre de positionner le RSSI où elle veut. Résultat, le RSSI se retrouve sous le contrôle du DSI mais les deux ont des pensées opposées : le DSI est beaucoup plus orienté business alors que le RSSI est marqué sécurité. La confrontation est donc inévitable même si les individus s'entendent bien. De plus, si le RSSI ne peut pas être transverse et prendre la main sur les systèmes d'information de l'ensemble des entités de la compagnie, il va devoir convaincre chaque chapelle. La solution qu'on voit arriver et qui permet de régler ces deux problèmes est la création du poste de DSSI. On élève le responsable au niveau de directeur, ainsi on évite de voir la cybersécurité partir en guerre de chapelles."

A noter que cette solution est déjà conseillée aux entreprises, comme le remarque Jean-Philippe Isemann, associé RSM France responsable de l'offre IT & Risk Advisory : "L'ensemble de la littérature déconseille totalement de nommer un RSSI sous le contrôle du DSI. Le RSSI n'a rien à faire sous lui, les entreprises qui font cela ne sont pas encore matures d'un point de vue cybersécurité". Une autre possibilité serait d'agrandir les équipes du RSSI, ce qui lui permettrait de déléguer du travail, tout en lui donnant le niveau de directeur et donc la capacité de se faire entendre auprès des dirigeants.

Enfin, les entreprises doivent comprendre que le personnel qualifié en SSI est rare et cher. Il faut donc qu'elles allouent au RSSI le budget nécessaire pour son recrutement sinon le RSSI aura toujours du mal à se constituer une bonne équipe. "Il faut que les entreprises adaptent leurs grilles salariales. Car souvent les RH bloquent car les profils SSI ou RSSI ne rentrent pas dans ces grilles et elles tentent de pousser leur salaire à la baisse. Or, un salaire insuffisant face à la tâche n'aide pas le RSSI à se sentir mieux", conclut Franck Rouxel.

Ajoutons enfin qu'une formation à la communication aiderait les RSSI car souvent ils sont dotés de profils très techniques et ne savent pas forcément faire valoir leur point de vue.