Assurer la protection du système informatique d’une entreprise et intervenir rapidement en cas d’attaque cybernétique constitue la tâche passionnante du RSSI, le Responsable de la sécurité des systèmes d’information. Néanmoins, ce métier est souvent associé à un niveau de stress élevé.
Le métier de Responsable de la sécurité des systèmes d’information
Dans une entreprise, le rôle de Responsable de la sécurité des systèmes d’information peut être à la fois captivant et stressant. Ce stress peut parfois avoir des conséquences néfastes, comme le burn-out. C’est ce qu’a vécu Jean-François Louâpre en 2017, lorsqu’il était responsable cyber au sein d’un grand groupe.
Avec le recul, il réalise que les raisons de son épuisement professionnel étaient principalement liées à un fort sentiment d’impuissance face à une double adversité. D’un côté, la nécessité d’être constamment en alerte contre une menace invisible capable de mettre à mal l’activité de l’entreprise, mais impossible à contrôler. De l’autre, les difficultés internes à faire comprendre l’importance de la sécurité des systèmes d’information et à obtenir les ressources nécessaires. Le tout en étant constamment joignable, 24 heures sur 24. Selon lui, il y a dix ans, en cas de problème, le patron se demandait ce que vous aviez fait, alors qu’aujourd’hui, les cyberattaques étant plus médiatisées, le métier est mieux compris et reconnu.
Une charge mentale importante
Malgré cette évolution, le stress reste présent. Une récente étude du CESIN révèle que si la plupart des responsables cyber apprécient l’adrénaline de leur métier, la moitié d’entre eux ressentent du stress, dont un quart un stress élevé et potentiellement nocif. Pour Mylène Jarossay, présidente du CESIN, ce constat n’est pas satisfaisant, même si des progrès ont été réalisés ces dernières années. Selon elle, les responsables cyber vivent avec une épée de Damoclès, luttant de manière asymétrique contre les attaquants. Benjamin Leroux, de la société Advens, souligne également le risque de développer un syndrome du super-héros, lorsque l’employeur attend du responsable qu’il agisse comme un gilet pare-balles.
Pour réduire cette charge mentale, les auteurs de l’étude recommandent une meilleure définition des missions et des objectifs du responsable cyber. Il est responsable de la protection du système, pas du danger en lui-même. De plus, la mise en place d’astreintes est essentielle pour relâcher la pression mentale. Malheureusement, peu d’entreprises ont mis en place ce dispositif, laissant de nombreux responsables cyber joignables 365 jours par an, en particulier dans les PME. Selon la présidente du CESIN, l’astreinte est cruciale pour permettre aux professionnels de souffler et de mieux gérer le stress lié à leur métier.