Stratégie

RSSI : à 5 mois des JO, une profession sous pression

75% des RSSI français disent faire face à des attentes trop élevées, soit 14 points de plus que la moyenne mondiale. (Photo : Ulrike Mai/Pixabay)

Un niveau de menace élevé, une régulation qui se renforce et des budgets sous pression. Le cocktail est explosif pour les RSSI. Trois sur quatre disent faire face à des attentes trop fortes.

PublicitéA quelques mois des JO et alors que l'Anssi s'inquiète de la recrudescence de la menace issue de groupes affiliés à la Russie, les champions de cybersécurité apparaissent fatigués. « Nombre de RSSI sont confrontés à la pression de leur responsabilité personnelle et à des attentes excessives », souligne Lucia Milica Stacy, la RSSI de Proofpoint, éditeur qui vient de publier une étude menée auprès de 1600 de ses pairs dans 16 pays.

Trois responsables de la cybersécurité sur quatre en France estiment que leur organisation fait face à un risque de cyberattaque dans les 12 prochains mois, soit 6 points de plus que la moyenne mondiale. Une proportion similaire des RSSI hexagonaux s'inquiète aussi du manque de préparation de leur entreprise ou administration face aux menaces ciblées. Dans le monde, ce sont d'ailleurs eux qui sont le plus préoccupés par ce type d'attaques, à égalité avec les Britanniques. Le niveau d'inquiétude des responsables français est aligné avec leur expérience des 12 derniers mois, puisque 74% d'entre eux expliquent que leur organisation a dû faire face à une perte de données sensibles au cours de l'année écoulée (contre 63% en moyenne dans le monde).

Un impact sur la qualité de vie des RSSI

Des chiffres qui témoignent du niveau élevé de la menace auquel les RSSI doivent faire face dans un contexte budgétaire désormais plus tendu (au niveau mondial, 58% des RSSI expliquent que le ralentissement économique a eu un impact sur le budget cyber). Et alors que les conseils d'administration restent préoccupés des conséquences qu'une cyberattaque aurait en matière de perte de clients, de dommage réputationnel ou d'arrêt de l'activité.

La conséquence ? 75% des RSSI français disent faire face à des attentes trop élevées, soit 14 points de plus que la moyenne mondiale. Une moyenne qui, elle-même, a connu un bond de 12 points en un an. Nombreux sont les RSSI à s'inquiéter notamment de leur responsabilité personnelle, souligne Proofpoint. « La plupart des RSSI (61 %) déclarent qu'ils ne rejoindraient pas une organisation qui n'offre pas d'assurance pour les administrateurs et dirigeants ou quelque chose de similaire permettant de les protéger de toute responsabilité financière découlant d'une cyberattaque réussie », écrit l'éditeur.

Pour ce dernier, le niveau d'exigence, l'épée de Damoclès de la responsabilité personnelle et les tensions budgétaires ont un impact sur la qualité de vie des RSSI. Dans le monde, six professionnels de la cyber disent avoir connu une forme de burnout au cours de l'année écoulée. En France, cette proportion atteint même 65%, même si l'Hexagone n'est pas le pays le plus atteint par ce phénomène, le Royaume-Uni et les Etats-Unis dépassant les 70% de professionnels concernés.

PublicitéEn complément :
- Cybersécurité : les RSSI doivent muscler leurs capacités à éteindre les incendies

La cybersécurité s'invite au conseil d'administration

Du fait des conséquences potentielles d'une attaque, les relations entre RSSI et membres du conseil d'administration se font plus étroites. Selon l'étude de Proofpoint, 62% des responsables cyber au niveau mondial témoignent d'échanges directs avec la direction de leur organisation sur le sujet. Mais le mariage reste imparfait, souligne l'éditeur. 62 % des RSSI estiment que l'expertise en matière de cybersécurité devrait être requise au sein du conseil d'administration, une proportion qui atteint même 75% en France. « Ce qui suggère que beaucoup pensent que les connaissances techniques manquent dans la salle du conseil », écrit Proofpoint. Aux Etats-Unis, la SEC (Securities and Exchange Commission), le gendarme de la bourse, suggère d'ailleurs que les entreprises cotées dévoilent publiquement l'existence de compétences en cyber au sein de leur conseil d'administration.