Ce n’est pas surprenant quand on sait qu’en France, un professionnel sur deux déclare avoir dû gérer plus d'une cyberattaque majeure au cours de sa carrière, contre seulement quatre professionnels sur dix en moyenne pour le reste de l'Europe. Alors, quelles solutions peut-on envisager pour les aider à travailler dans de meilleures conditions tout en préservant leur santé mentale ?
Cultiver des compétences de gestion stratégique
Avec l'essor exponentiel des initiatives de transformation numérique au sein des organisations, les RSSI ont désormais un rôle plus central que jamais. Appelés à cultiver des compétences de gestion et de stratégie, en plus de leurs traditionnelles compétences informatiques, cette évolution a pour conséquence une redéfinition de l'image traditionnelle du RSSI en tant que simple prestataire de services internes, faisant de lui un leader qui tend à être pleinement intégré au sein des instances décisionnelles de l'entreprise.Pourtant, et malgré toutes les évolutions de leur rôle, 84 % des RSSI français estiment que les solutions technologiques de sécurité mises en place au sein de leur organisation nécessitent une amélioration si elles veulent permettre de garantir une véritable protection au sein de l’entreprise. Qui plus est, chez plus de la moitié des professionnels du secteur, moins de 20 % du budget IT est déployé pour la cybersécurité.
C’est précisément ce manque de ressources technologiques, dans un contexte de hausse des responsabilités et des dangers cybernétiques, qui provoque un stress important chez les équipes de sécurité opérationnelle. Prendre conscience de ces points de friction et débloquer les ressources qui permettront de soutenir les RSSI et leurs équipes, en plus de favoriser l’acquisition de nouvelles technologies de sécurité, peut permettre non seulement de déjouer les menaces les plus avancées mais également de réduire le stress de l’ensemble des équipes.
Un travail porteur de sens mais des équipes en sous-effectif
Si les entreprises doivent contribuer à faire des RSSI de véritables partenaires stratégiques pleinement intégrés à la prise des décisions sur des sujets tels que la transition numérique ou l’adoption des nouveaux outils technologiques, il reste que le manque de main-d’œuvre au sein des équipes reste source d’importantes frustrations.Bien que des professionnels de la cybersécurité affirment qu’il s’agit pour eux d’un travail à la fois utile et motivant, la moitié d’entre eux cite le manque de main-d’œuvre comme sa problématique numéro un au quotidien. Les difficultés liées au recrutement et la lourde charge de travail à caractère opérationnel sont autant de facteurs qui affectent la qualité de vie au travail de ces professionnels tout en les empêchant de se concentrer sur leurs fonctions de partenaires de décisions.
Écoute et soutien feront des RSSI des acteurs stratégiques dans l’entreprise
Visionnaires par les nécessités de leur fonction, la motivation première des responsables de la sécurité est de définir et de développer la politique de sécurité de l’information de leur entreprise, et sa conformité par la gestion prévisionnelle des risques. Avec le développement rapide de l’IA, les RSSI disposent de nouveaux outils plus performants, mais ils doivent aussi faire face à de nouveaux défis. Leur rôle évolue afin de peser sur les décisions pour faire évoluer la culture de l’entreprise vers plus d’éthique et de conformité, et, en définitive, influencer l’image de marque de celle-ci et son rôle sociétal. Un élargissement de leurs responsabilités qui fait de la gestion des risques (règlementaires, technologiques…) un élément incontournable des décisions stratégiques.De fait, la confiance et l’autonomie sont plus que jamais des ingrédients nécessaires pour faire des RSSI des acteurs clés dans la prise de décision stratégique de l’entreprise. Sans écoute et soutien de la part des équipes de direction, il leur sera impossible de remplir pleinement leurs rôles, en tant que gestionnaires des risques, mais aussi en tant que communicateurs pour former et sensibiliser les collaborateurs, de responsables de la conformité juridique et de veilleurs technologiques pour avoir un réel impact sur l’évolution de l’entreprise.
Le rattachement à la direction est nécessaire
Car, il ne s’agit plus de simplement remplir une fonction technique de protection des actifs immatériels de l’entreprise. Ils doivent être soutenus pour s’élever au rôle de véritables architectes d’une culture de cybersécurité au sein des organisations. À travers la sensibilisation et la formation, ils doivent pouvoir contribuer à une amélioration du dialogue et de la collaboration entre les différents services impliqués. Leur rôle de veilleurs et de contrôleurs de la conformité et des bonnes pratiques, les place automatiquement en dehors de la DSI, dont ils restent les partenaires privilégiés.En définitive, leur rattachement à la direction générale est la seule position à partir de laquelle ils peuvent pleinement contribuer à la définition et à la mise en œuvre des moyens et budgets nécessaires pour la déterminer de la posture sécuritaire de l’entreprise et conduire les actions nécessaires pour en faire un identifiant identitaire de l’entreprise, pleinement compris et endossé par les collaborateurs. Cela signifie que le RSSI a un accès plus direct aux ressources nécessaires pour mettre en œuvre les mesures de sécurité et leurs dépendances (formation, veille technologique et règlementaire…).
Par Adrien Vandeweeghe, Director France & Benelux chez Trellix