Le burn out : la première vulnérabilité des RSSI

Malgré des salaires en hausse et des ressources plus importantes, la mission du RSSI tend à s'intensifier, induisant un niveau de stress élevé, voire un épuisement professionnel.

Alors que le Forum International de la Cybersécurité (FIC) accueillait la semaine dernière à Lille la crème de la profession cyber, l’un des sujets les plus brûlants discutés par les professionnels présents était l’impact de leurs responsabilités sur leur équilibre mental. Le constat est en effet sans appel : le rôle du RSSI est de plus en plus difficile. Malgré des salaires en hausse et des ressources plus importantes, la difficulté de leur mission tend à s’intensifier, induisant un niveau de stress élevé, voire un épuisement professionnel.

Une fiche de poste à rallonge

Les causes de la pression grandissante qui pèse sur les RSSI sont multiples. La première étant l’effet boule de neige. La plupart des professionnels ont démarré leur carrière dans ce qui s’appelait à l’époque la « sécurité informatique », terme qui, depuis quelques années, tend à disparaitre au profit d’abord de « sécurité de l’information » puis de la « cybersécurité » pour aujourd’hui devenir la « cyber-résilience ». Cette évolution terminologique entraîne surtout l’élargissement du champ d’action et des responsabilités des professionnels de la sécurité.

Un second facteur de stress prédominant provient de l’environnement dans lequel nous opérons. Les organisations et les systèmes sociétaux sont de plus en plus complexes entraînant des comportements imprévisibles, sinon chaotiques, des systèmes sur lesquels dépend la bonne marche d’une société de plus en plus numérisée, la rendant plus fragile tout en étant encline à d’inévitables défaillances.

Mais le point d’orgue de cette situation réside dans les conséquences juridiques auxquelles les RSSI peuvent s’exposer aujourd’hui par leurs actions. Avec des sanctions pouvant atteindre des milliers d’euros d’amende pour l’entreprise, les risques du métier sont grandissants et les empêchent de se concentrer sur la nécessité de « bien faire les choses ».

Est-il donc vraiment étonnant que les RSSI évoquent un désir de prendre du recul et qu’un nombre croissant d’entre eux aient déjà fait savoir que le « poste de direction » n’était pas fait pour eux ?

Ne pas se voiler la face

Nous sommes nombreux à affirmer que nous tolérons le stress inhérent à notre fonction alors même que l’épuisement professionnel est rarement perceptible. Certes, dans les cas les plus extrêmes, un trop haut niveau de stress se manifestera physiquement. Néanmoins, les conséquences sont plus généralement psychologiques et entraînent plutôt des changements de comportement voire un isolement progressif du cercle privé. Un mal-être dont nous sommes pleinement conscients puisqu’il est graduel, nous laissant le temps de normaliser chaque point de pression supplémentaire. L’épuisement professionnel, en revanche, est impétueux et imprévisible. Il survient bien souvent à la suite d’un événement sans conséquence, mais provocant une fracture complète.

Outre les conséquences personnelles, le stress entraîne aussi des répercussions sur notre travail au quotidien et peut altérer notre jugement, posant certaines considérations éthiques. Pour éviter une charge mentale supplémentaire, nous serions bien volontiers tentés de négliger un « datapoint », alors même que ce choix peut conduire à une série de mauvaises décisions, rongeant notre intégrité et ayant des répercussions au sein de l’organisation.

Car au-delà même du rôle de RSSI, comment s'assurer de l’intégrité et de l’exactitude des données qui nous sont transmises et ainsi minimiser le retour de bâton ?

Il n’y a pas de solution miracle pour assurer un équilibre entre santé mentale et éthique au travail. Chaque individu aura sa propre méthode, suivant ses besoins. Le tout étant de comprendre ce qui fonctionne ou non pour être en pleine capacité, renforcer les actions positives et minimiser les effets négatifs.

Trouver un équilibre au travail

Pour ce faire, il est impératif d’identifier les habitudes et fonctionnements néfastes. Par exemple la volonté de s’attaquer quotidiennement à un nouveau problème, souvent difficile, et de s’acharner à trouver une solution stratégique alors qu’il est possible de déléguer, vers le haut comme vers le bas, et obtenir des informations, des conseils et/ou de l’aide. De cette optique d’introspection, il est important de reconnaître qu’un choix réside derrière chaque réaction émotionnelle et que nous pouvons donc choisir d’être en colère ou non.

Indéniablement, faire face au changement quasi constant (de priorités, de règles du marché, de compétiteurs ou simplement d’interlocuteurs) est aussi un amplificateur important de stress induit par la nature variée du rôle de responsable de la sécurité. Ce rythme nécessite de se fixer des limites et des règles, applicables à l’ensemble d’une équipe, imposant par exemple des pauses entre chaque réunion afin de pouvoir prendre du recul, respirer et être prêt à faire face au problème suivant.

Instaurer une culture d’équipe seine

Le rôle de RSSI englobe également une fonction managériale importante puisqu’il nous incombe de veiller à ce que chaque action, chaque problème, chaque résolution n’aient pas d’impact sur les personnes dépendantes de notre travail et de celui de nos équipes, il est donc nécessaire d’instaurer un cadre de travail commun.

En tant que responsable et manager, il faut avoir la capacité de détecter non seulement nos propres signes de stress, mais également ceux de nos collaborateurs, et les inciter à être dans cette même démarche de préservation de soi. Tendre vers une culture de l’attention réciproque peut améliorer la qualité de vie au travail de chacun, reconnaître que les efforts déployés ne sont pas sans sacrifice et savoir remercier les efforts qui sont faits.

Suivre une ligne de conduite

Néanmoins, instaurer une démarche éthique pour soi et au sein d’une équipe ne peut se faire sans l’adoption d’une ligne de conduite. Il n’appartient pas au responsable de sécurité de tout contrôler, mais plutôt d’effectuer un travail, en amont, d’identification et de clarification pour prévenir d’éventuel débordement ou perte une de contrôle total. Tout manquement, même mineur, pourrait entraîner des conséquences désastreuses à long terme. Par exemple, dans les forces armées, laisser proliférer des actions contraires au règlement ouvre la voie à la normalisation et la généralisation de comportements violents.

C’est pourquoi il faut effectuer un travail d’identification de tous les points de conflit existant et potentiel. Plus important encore, il est nécessaire de se doter d’un « gouvernail » éthique. Nous avons tous nos propres buts, objectifs et ambitions qui guident nos actions et façonnent notre personnalité. Toutefois, en période de stress, il est facile de les perdre de vue et de se concentrer uniquement sur le problème qui se présente à nous à l’instant « t ». Dans tous les cas, si finalement votre rôle vous amène à prendre des décisions que vous considérez comme contraires à l’éthique, n’est-il pas tout simplement tant de changer ? Être RSSI repose essentiellement sur notre intégrité et notre droiture qui, en cas de changement, nous permettra toujours de bénéficier d’un filet de sécurité.