Dans un contexte où le risque cyber ne cesse de se diversifier et où le nombre de menaces se multiplie, le rôle du Responsable de la Sécurité des Systèmes d'Information (RSSI) est devenu un véritable défi.
Malgré des salaires attractifs et des budgets en hausse, la pression sur les RSSI ne cesse de s'intensifier, à mesure que leurs responsabilités s'élargissent et que la complexité des systèmes qu'ils supervisent s'accroît.
Quand les chiffres parlent d'eux-mêmes
Selon une enquête du CESIN, 28% des RSSI éprouvent un stress "avec risque d'épuisement au travail" [1] et 60% sont en proie à un stress quotidien intense [2].
Selon Gartner, près de la moitié des responsables de la sécurité devraient changer d'emploi d'ici à 2025, dont 25% pour des rôles complétement différents, en raison des facteurs de stress[3].
L'ancienneté moyenne d'un RSSI n'est que de 26 mois, selon un rapport de Nominet [4].
Ces données montrent clairement l'ampleur du stress et de l'épuisement professionnel parmi les RSSI, ainsi que les défis auxquels ils sont confrontés dans leur travail quotidien. D’autres études internationales ont également mis en avant ce phénomène d’épuisement professionnel :
En moyenne, les RSSI travaillent 11 heures de plus chaque semaine par rapport à ce que prévoit leur contrat, et 10% travaillent même entre 20 et 24 heures de plus par semaine [5].
Selon une étude de Nominet, 32% des RSSI déclarent que leur travail met en péril leur mariage [6].
Toujours selon Nominet, 42% des RSSI ont manqué des vacances importantes comme Noël, 40% ont manqué des congés en famille à cause du travail et 59% ont du mal à se déconnecter du travail une fois la journée terminée en raison du stress [5].
Seuls 53% des RSSI sont pleinement convaincus que les logiciels livrés par les équipes de développement ont été complétement testés pour détecter des vulnérabilités avant d’être mis en production [7].
Pour 63% des RSSI, la priorisation des vulnérabilités est un véritable défi, car ils manquent d’informations sur les risques que ces vulnérabilités représentent pour leur environnement [7].
81% des RSSI déclarent qu’ils verront une augmentation des vulnérabilités s’ils ne parviennent pas à rendre le DevSecOps plus efficace [7].
Ces chiffres sont alarmants et montrent clairement que le stress et l'épuisement professionnel sont des problèmes réels et urgents parmi les RSSI.
Les responsabilités croissantes des RSSI
Les RSSI sont constamment sur le qui-vive, jonglant avec une multitude de tâches et de responsabilités. Ils sont les gardiens des informations sensibles de l'entreprise, les gestionnaires des risques liés à la cybersécurité et les premiers répondants en cas d'incidents de sécurité. De plus, ils doivent rester à la pointe des dernières menaces et technologies de sécurité, tout en gérant les attentes des parties prenantes internes et externes.
Les risques juridiques
Cependant, ces responsabilités ne sont que la partie émergée de l'iceberg. Les conséquences juridiques de leurs actions peuvent être sévères, ajoutant une couche supplémentaire de stress. Un faux pas peut entraîner des conséquences juridiques graves, non seulement pour l'entreprise, mais aussi pour le RSSI lui-même. Pour atténuer ces risques, il est essentiel de mettre en place des formations régulières sur les réglementations en vigueur et de disposer d'une équipe juridique compétente pour conseiller les RSSI.
Le rôle de l'entreprise et de la formation technique
Les entreprises ont un rôle crucial à jouer pour soutenir leurs RSSI. Elles doivent reconnaître la pression intense sous laquelle ces professionnels travaillent et mettre en place des mesures pour atténuer le stress et prévenir l'épuisement professionnel.
Cela peut inclure des formations sur la gestion du stress, des programmes de soutien au bien-être mental, et une culture d'entreprise qui valorise l'équilibre entre vie professionnelle et vie privée.
En outre, les formations en cybersécurité et sécurité IT peuvent également jouer un rôle important pour aider à soulager la pression sur les RSSI, en leur permettant de prendre du recul sur leur métier, échanger avec leurs pairs et rompre l’isolement professionnel lié à la technicité de ces métiers.
Sur un plan de maintien et d’acquisition de nouvelles compétences pour faire face à la menace cyber, les formations avancées en cybersécurité sont des éléments essentiels pour aider les RSSI à rester à jour avec les dernières menaces et technologies de sécurité.
Les entreprises doivent investir dans des programmes de formation continue pour leurs RSSI, leur permettant d'acquérir de nouvelles compétences et de se tenir au courant des dernières tendances en matière de cybersécurité.
Cela peut non seulement aider à réduire le stress lié à la peur de ne pas être à jour, mais aussi améliorer la capacité de l'entreprise à se protéger contre les menaces de sécurité.
Les différents articles qui ont permis de réaliser ce billet de blog, nous montrent clairement que les RSSI sont sous une pression énorme et que cela a des conséquences néfastes sur leur santé mentale et, par extension, sur la santé de l'entreprise.
Face à ces défis, les départements des ressources humaines (DRH) ont un rôle crucial à jouer. Ils doivent prendre des mesures pour prévenir l'épuisement professionnel, comme la mise en place de programmes de soutien au bien-être mental, la promotion d'un équilibre sain entre le travail et la vie personnelle, et la création d'un environnement de travail qui valorise et soutient les RSSI.
Les DRH ont donc un rôle crucial à jouer pour soutenir ces professionnels essentiels.
Sources
[4] https://www.silicon.fr/cybersecurite-rssi-epuisement-334126.html
[5] https://www.lemondeinformatique.fr/actualites/lire-le-burnout-des-rssi-en-question-85732.html
https://www.journaldunet.com/solutions/dsi/1521683-le-burn-out-la-premiere-vulnerabilite-des-rssi/
https://www.lemondeinformatique.fr/actualites/lire-le-burnout-des-rssi-en-question-85732.html
