Face à la pression qui pèse sur eux, les RSSI et les responsables du risque cyber en entreprise doivent passer d’une obligation de résultats à une obligation de moyens. Ils doivent se transformer en partenaires métiers, en « Business Partners » plutôt que de se voir en « super héros« . C’est ce qui ressort à la lecture du rapport « Apprivoiser le stress cyber » établi par le Club des Experts de la Sécurité de l’Information et du Numérique (Cesin).
Autre point, les RSSI et les directeurs de la cyber-sécurité demandent une assistance dans l’évolution de leur métier. En effet, ils relèvent qu’ils sont contraints d’adopter une posture d’influence stratégique et de conduite du changement permanente. Cela nécessite d’adopter de nouvelles postures.
Les responsable cyber doivent réinventer leur rôle
« Les RSSI ne sont pas responsables du danger, ils sont uniquement responsables du système de défense. Pour gagner en sérénité et impact, il faut donc aider les dirigeants cyber à réinventer leur rôle » préconise Yann Ofanowski, accompagnant de dirigeants, spécialisé en stress des organisations, et co-auteur du rapport. Les responsables cyber « ne sont plus les sauveurs de l’entreprise mais plutôt les soutiens et conseillers des métiers. Cela signifie un changement d’état d’esprit et un changement dans la posture de leadership » demande-t-il.
Le rapport indique que nombreux RSSI sont convaincus qu’ils n’ont pas le droit à l’erreur, qu’une crise mal anticipée ou mal gérée aurait des conséquences dévastatrices pour eux, c’est à dire pour leur emploi et leur réputation. « L’expérience montre que c’est rarement le cas » édicte le rapport. Le RSSI se sent pourtant investi du rôle de « responsable », au sens de « garant des résultats ». Mieux, le RSSI plébiscite cette posture de « super héros » car c’est une véritable noblesse de la fonction.
L’étude estime que le reste de l’entreprise, et notamment les directions métiers, s’arrangent très bien de cette posture de « super-héros » du RSSI, car cela leur permet de se détacher, de rester à distance, de déléguer ces activités, investissements, décisions, prises de risques, et de ne pas pleinement assumer les possibles conséquences des décisions. Conséquence selon l’étude, • une immense pression pèse sur les épaules du RSSI et de ses équipes, puisqu’ils doivent tout gérer et tout décider pour tout le monde. •
Des métiers moins concernés et donc moins vigilants
Or cela amène un risque plus important sur l’entreprise puisque le manque d’appropriation du risque cyber rend les métiers moins concernés, moins vigilants, moins préparés, éventuellement moins outillés.
Toujours selon l’étude, les solutions à ce problème passent par un recadrage permanent des attentes et du rôle du RSSI et surtout par le deuil de la posture de « super-héros ».
L’enquête considère que le risque cyber est un risque systémique, et qu’on ne peut pas attendre du RSSI une obligation de résultats et qu’il doit au contraire revendiquer une obligation de moyens. Le prix à payer est d’apparaître sous un jour moins noble. Il s’agit sans doute de renforcer la posture de « Business Partner » du RSSI à l’instar d’autres fonctions support telles que la Finance ou la RH, en dialoguant en permanence avec les métiers et en co-construisant des solutions avec des moyens financiers et humains limités.
En résumé, l’enjeu à un niveau de directeur est de passer d’une posture de « responsable » à une posture de « Business Partner ». Et d’un point de vue plus macro, on peut parler d’un enjeu de « démocratisation du risque cyber » auprès de l’ensemble des métiers de l’entreprise. Chacun devant à terme comprendre et assumer ses droits et ses devoirs.
Le Cesin présente ce rapport, fruit d’une étude menée sur le stress des Responsables de la cyber-sécurité en France. Ce rapport fait suite à l’enquête lancée en 2021, qui avait mis en lumière des niveaux de stress élevés et préoccupants au sein de la profession.