Ils ont payé la crise de leur personne. En première ligne avec la crise du Covid-19, le mal-être des RSSI, écartelés entre demandes internes pressantes et exigences de sécurité au long terme, semble s’être encore accentué. À tel point qu’aujourd’hui, le sujet du burn-out n’est plus tabou dans le milieu. Décryptage.
En novembre 2019, l’étude « CISO Stress », menée auprès de plus de 800 responsables de la sécurité des systèmes d'information (RSSI) et dirigeants d’entreprise aux États-Unis et au Royaume-Uni, dépeignait un tableau sombre de l'un des emplois pourtant les plus en demande aujourd'hui. Et ce, autour de chiffres alarmants : 88% des RSSI interrogés se considérant comme « modérément ou extrêmement stressés », 48% d’entre eux expliquant que leur niveau de stress avait un impact sur leur santé mentale ou encore 23% admettant s'être tournés vers les médicaments ou l'alcool… Longues heures de travail, budgets restreints, difficultés à recruter, et manque certain de représentation lors des conseils d’administration ; la situation n’est guère reluisante – alors même que les collaborateurs et équipes métiers demandent toujours plus de rapidité et de fluidité dans les outils informatiques. Et elle s’accompagne d’un stress constant face à l’accélération des nouvelles menaces cyber, doublé de la peur d’être tenus pour responsable en cas de pépin… Qu’en est-il alors de la santé mentale des RSSI ? Quelles voies emprunter pour améliorer la situation ?
RSSI, la culture à la racine du problème
Avant tout, les RSSI souffrent d’être mal compris. Yohann, en recherche d’emploi après avoir quitté son précédent poste pour éviter le burn-out, explique : « Ce qui est frustrant, c’est que quand on fait bien notre travail, cela ne se voit pas ». Difficile dans ce contexte de faire valoir sa valeur d’expert cybersécurité... Pourtant, le métier de RSSI est un métier de passionnés autour des nouvelles technologies, pour lequel beaucoup s’impliquent au-delà de leur emploi. « Le terrain de la sécurité informatique est tellement vaste que l’on ne peut jamais en faire assez, on le fait par éthique professionnelle et par amour de notre travail, mais cela peut devenir épuisant », poursuit-il. L’étude « CISO Stress » souligne bien le poids de cette responsabilité pour ces experts en sécurité informatique : pour 44% des interrogés, la raison principale de leur mal-être est imputable au fait de porter à bout de bras la cybersécurité de leur entreprise, dans un univers qui ne reconnait pas la gravité des enjeux auxquels ils font face. À tel point que pour 35% des interrogés, le niveau de stress est tel qu’il impacte leur santé physique… Suite à sa publication, l’étude a rencontré un fort écho et Russell Haworth, CEO de Nominet et commanditaire de l’étude, relate d’ailleurs avoir recueilli de nombreux messages de la part de RSSI et d’experts cybersécurité qui confessent s’être retrouvés dans les résultats des sondages.
Le terrain de la sécurité informatique est tellement vaste que l’on ne peut jamais en faire assez, on le fait par éthique professionnelle et par amour de notre travail, mais cela peut devenir épuisant
Si l’étude se basait sur des professionnels aux États-Unis et au Royaume-Uni, la situation ne semble guère plus glorieuse en France. Toutefois, les contours du problème diffèrent de par nos spécificités culturelles… Contrairement à la croyance populaire, notre pays ne valorise que très peu les profils de ces techniciens. Alice Louis, juriste en IP/IT et experte en gouvernance du patrimoine informationnel, rappelle le cas exemplaire de Louis Pouzin. « Brillant chercheur, ingénieur et polytechnicien, il est mondialement reconnu comme étant l’un des pères fondateurs de l’Internet. Le projet dénommé « Cyclades », qu’il a dirigé dans les années 70, a permis des avancées considérables dans le domaine de l’architecture des réseaux. Les Américains, alors en pleine guerre froide, en ont vite compris l’intérêt stratégique, pendant que le gouvernement français décidait, lui, d’investir dans le Minitel… Je suis sidérée de voir à quel point nous ne savons pas tirer les leçons du passé ! La France a de nombreux talents ; le génie français s’exprime aussi dans les technologies de l’information et de la communication. » Ce qui n’est pas le cas outre-Atlantique. « Si vous prenez le top 10 des entreprises inscrites à l’équivalent de notre CAC40, les trois quarts d’entre elles ont à leur tête des ingénieurs, des codeurs. Ce n’est absolument pas le cas en France, où la culture de l’ingénierie dont nous nous enorgueillissons relève plus du fantasme. Il n’y a d’ailleurs aucun polytechnicien à la tête de l’État, seulement des énarques », déplore Fabrice Epelboin, entrepreneur et enseignant à Sciences Po.
À ses yeux, l’informatique est d’ailleurs toujours considérée avec un certain mépris, auquel il répond avec provocation : « Dans les entreprises, les gens ne connaissent pas le nom du DSI, dont ils n’ont rien à faire. Pour le CAC40, le DSI est une femme de ménage, certes très bien payée, mais dans une position qui est celle d’un simple exécutant, qu’on appelle quand on a un problème ». Et que dire alors du RSSI, lui-même subordonné au DSI ? Dans l’édition 2018 de l’étude « Menaces Informatiques et Pratiques de Sécurité en France » du Clusif, rapportée dans les colonnes du Mag IT, 77% des RSSI des plus grandes entreprises sont en effet rattachés à la DSI. Alors que dans les entreprises de moins de 1 000 salariés, ils sont 55% à être directement rattachés à la direction générale.
Aux États-Unis et dans la majorité des pays anglophones, son pendant est le CISO (pour Chief Information Security Officer), qui intègre de plus en plus le comité de direction. En France, il est laissé pour compte au sein de son entreprise. « Cela a à voir avec le fait que, fondamentalement, le RSSI est un hacker. Il n’est pas issu des grandes écoles que nous valorisons, il ne connait pas les codes, sinon il serait devenu ingénieur », poursuit l’enseignant. De fait, les RSSI sont perçus comme occupant de simples fonctions support…
Des RSSI en crise avant la crise
D’autant plus que le RSSI, isolé, est loin de bénéficier d’un système de relais dans son entreprise, au contraire… « Cela tient à l’organigramme », précise Yohann. « Nous sommes perçus comme un mal nécessaire. Nos missions se heurtent non seulement avec celles des autres services, mais aussi avec celle du DSI, notre N+1, dont les objectifs de disponibilité des infrastructures et de capacité à supporter une charge sont à l’opposé du nôtre. » Lorsque les deux s’entrechoquent, le RSSI, qui dispose des miettes du budget et d’une équipe souvent restreinte, doit parfois s’accommoder d’entorses à la sécurité au nom d’impératifs business… Pas sûr que cela suscite des vocations pour devenir RSSI.
Les RSSI sont perçus comme un mal nécessaire
Jérémy, un autre RSSI qui a accepté de témoigner, partage ce constat. « Nous sommes pris en tenaille entre le DSI, le comité de direction, et les utilisateurs, qui ne comprennent pas pourquoi nous imposons des normes de sécurité. Pour aller dans le sens des DSI, nous sommes souvent amenés à valider des situations périlleuses en prenant le risque que cela nous retombe dessus. » Avec un rire jaune, il évoque un adage connu des RSSI : « Le DSI est le fusible de la Direction, le RSSI celui du DSI. » En cas de problème, le RSSI sera promptement blâmé, voire sacrifié.
Les RSSI sont pris en tenaille entre le DSI, le comité de direction, et les utilisateurs, qui ne comprennent pas pourquoi nous imposons des normes de sécurité
À cet état sensible est venu se greffer la crise du Covid-19, qui a exacerbé les frictions. « Le seul objectif de certains Comex maintenant, c’est de survivre, et cela se fait au détriment des normes de sécurité que nous préconisons », rappelle Jérémy. Déployer le télétravail pour l’ensemble de l’entreprise en systématisant le BYOD a ouvert de nombreuses brèches dans la sécurité informatique tout en multipliant la charge de travail de RSSI déjà saturée. « Du jour au lendemain, il a fallu tout changer. Et aucune société n’était prête, assure Jérémy. Pour les collaborateurs, il n’y avait pas d’enjeu, car leur travail ne changeait pas, alors que cela impliquait une reconfiguration complète de notre côté. » Dans le sillon de ces pratiques, de nouvelles menaces apparaissent, à l’instar du shadow IT, imputable à l’utilisation d’applications et de services parallèles à ceux proposés par la direction IT. « En tirant sur la corde, les RSSI ont réussi toutefois à mettre en place vite et bien de nombreuses initiatives. Ce succès, à double tranchant, a rendu invisible la complexité et les difficultés de notre tâche… », évoque Jérémy.
Et le prix à payer pour réussir ce difficile exercice d’équilibriste peut être l’implosion de la vie personnelle. « Je rentre tard du bureau, je dîne rapidement et me remet à bosser jusqu’à une heure du matin. Les week-ends, je n’en ai plus », rapporte Yohann. Dans les pays anglophones, l’étude « CISO Stress » révèle le même malaise : 95% des interrogés déclarent travailler plus que ne le requiert leur contrat, et 39% d’entre eux ont déjà raté le mariage d’un membre de leur famille, ou bien des vacances, à cause de leur travail.
Comment prendre soin de votre RSSI ?
En interne comme en externe, le RSSI est assailli de toutes parts. Pourtant, ce dernier n’est pas condamné à son sort, et différentes solutions sont à envisager.
Yohann et Jérémy sont unanimes. Le RSSI ne doit être plus être subordonné au DSI. « Ce rapport empêche le RSSI de jouer pleinement son rôle, celui d’expert cybersécurité et de contre-pouvoir, qu’il ne peut exercer qu’en étant indépendant », explique Jérémy. Pour ce dernier, il faudrait s’imprégner de la culture américaine, plus encline à la délégation des responsabilités. « Il faut également que le RSSI soit au plus près du top management, et intégré au Comex. Une fois à niveau égal avec le DSI, il pourra alors défendre ses positions de manière transparente », complète Yohann. Ainsi, les arbitrages se feraient en connaissance de cause.
Au niveau des collaborateurs, une solution pourrait être l’organisation d’ateliers pédagogiques. « Dans la tête des salariés, mettre les gens en télétravail, c’est simple car ils ne comprennent pas que cela induit de protéger un réseau différent, avec de nouveaux flux concentrateurs. S’ils savaient… », soupire Yohann. L’instauration d’ateliers de sensibilisation à l’hygiène numérique permettrait également de faire comprendre pourquoi certaines bonnes pratiques (ne plus se contenter d’un mot de passe à huit caractères, utiliser uniquement les outils recommandés…) sont nécessaires. Car à l’heure où les frontières entre le personnel et le professionnel se brouillent et où les attaques numériques se font de plus en plus fréquentes et sophistiquées, les collaborateurs n’ont pas encore réellement pris la mesure des risques encourus. D’après l’étude « CISO Stress », seuls 15% des interrogés estiment que le sujet de la cybersécurité est systématiquement abordé lors des réunions impliquant les dirigeants de l’entreprise… L’expert en sécurité informatique qu’est le RSSI doit également devenir pédagogue.
Une autre piste plébiscitée par Alice Louis, qui défend l’interdisciplinarité, est « le pilotage de réseau d’intelligence(s), en particulier, celui des hackers éthiques », plus proches culturellement des RSSI que des DSI. Pour les premiers, « ils pourraient être des alliés de taille pour les organisations », qui contribueraient à faire basculer l’équilibre des pouvoirs en faveur de la cybersécurité. Ces hackers de confiance, parfois plus susceptibles d’être écoutés, pourraient jouer un rôle important dans les entreprises aujourd’hui, devenant de véritables extensions des équipes de sécurité. Frans Rosén, hacker de la communauté HackerOne, déclarait d’ailleurs à la fin du mois de mai dans un communiqué de presse : « Ce que je préfère, ce sont les réactions à certains des bugs que j'ai identifiés. Quand le DSI d'une entreprise m'appelle au milieu de la nuit pour comprendre la gravité, et panique quand il se rend compte de l'impact potentiel. »
Si Yohann et Jérémy observaient une amélioration de la situation, ils craignent cependant le rôle que pourrait jouer le Covid-19. L’épidémie pourrait en effet faire reculer les maigres progrès constatés dans la manière dont est appréhendé le rôle du RSSI. Alors la crise, accélérateur de progrès, ou vecteur de retour en arrière ? Il est encore trop tôt pour le dire…
