Management

Stressés et souvent boucs émissaires, les RSSI restent peu de temps en poste

Stressés et souvent boucs émissaires, les RSSI restent peu de temps en poste
Le stress, ennemi ou ami des RSSI, reste une des raisons courantes pour lesquelles ils ne restent que peu de temps en poste. (Photo : Pixabay/digital artist)

Avec une durée moyenne en poste de trois ans seulement, selon un cabinet de recrutement, nombreux sont les RSSI qui se demandent si le stress permanent, les responsabilités et les récompenses limitées ne rendent pas leur fonction intenable.

PublicitéDe nos jours, la durée moyenne en poste d'un RSSI est de trois ans, selon Tom Chapman, cofondateur du cabinet de recrutement spécialisé en cybersécurité Icebergs, et d'après les retours des candidats qu'il a placés. Dans une profession où les enjeux sont considérables et où les conséquences d'une seule erreur peuvent être déterminantes pour une carrière, une question cruciale se pose : les RSSI démissionnent-ils plus vite que d'autres fonctions, et si oui, pourquoi ?

La situation varie suivant les types d'entreprises, selon le recruteur. Il souligne par exemple qu'un RSSI de startup, qui cumule généralement plusieurs casquettes et supervise plus que la sécurité, a tendance à ne pas rester en poste plus de 18 mois à deux ans. Il précise que les raisons varient, mais que l'épuisement professionnel est souvent un dénominateur commun. « Dans le monde des startups, le rythme est très soutenu en général, rappelle Tom Chapman. De plus, les systèmes à disposition des RSSI sont souvent insuffisants, ce qui les oblige à tout reconstruire, et généralement avec des budgets restreints.

Le stress en vaut-il la peine ?

En revanche, les RSSI des grandes organisations, qui comptent quelques milliers d'employés dans le monde, disposent de budgets et de ressources plus importants et ont tendance à rester en poste plus longtemps. « Ils arrivent dans ces structures avec un plan sur deux ou trois ans. Ils mettent en oeuvre les changements, recrutent, créent de nouvelles équipes et renforcent véritablement la sécurité au sein de l'organisation, explique Tom Chapman. Mais à partir de la troisième année... Ils se retrouvent dans une forme de statu quo et plus rien ne les enthousiasme. Souvent, ils préfèrent partir recommencer la même chose, dans une autre entreprise. » Pour les plus grandes organisations, comme les banques d'investissement internationales, les distributeurs ou les acteurs du e-commerce, les mandats des RSSI peuvent être plus longs. « Leurs équipes comptent souvent entre deux et trois cents personnes », poursuit Tom Chapman.

Pour d'autres, comme Shahar Geiger Maor, RSSI de l'éditeur de plateformes de data marketing Fullpath, le problème n'est pas tant l'ennui que la pression constante. « Une faille de sécurité peut survenir à tout moment. On vit avec l'idée que quelque chose va mal tourner, et c'est très stressant », raconte-t-il. Il décrit aussi son métier comme fondamentalement conflictuel, soulignant qu'au-delà du risque technique auquel les RSSI sont confrontés, les compétences relationnelles nécessaires à ce poste et les enjeux politiques de l'entreprise auxquels ils font souvent face peuvent également peser lourd. « Un RSSI a de nombreuses interfaces dans l'entreprise, et il est essentiel qu'il ait des compétences relationnelles et sache bien communiquer. Souvent, il doit inciter les autres à agir, ce qui est extrêmement fastidieux. C'est très difficile de maintenir cette attitude dans la durée, affirme-t-il. Souvent, vous êtes en conflit direct avec les objectifs de l'entreprise, mais aussi avec les vôtres. On est comme un saumon qui remonte le courant. Il est donc très difficile de conserver un poste de ce type à long terme. »

PublicitéCoupable idéal

Même les temps de réelle pause sont difficiles à prévoir. Shahar Geiger Maor explique que, même en vacances, il emporte son ordinateur portable et ne se déconnecte jamais des canaux Slack de l'entreprise. « C'est tellement fondamental, dit-il. Impossible de vraiment déconnecter, même en congés. On - ou du moins une partie de soi - doit en permanence se remettre en mode 'travail', car un problème peut survenir à tout moment. C'est difficile, mais cela fait partie de la fonction. »

Cette exposition constante au risque et aux reproches est une autre raison pour laquelle certains RSSI hésitent à accepter ce poste, selon Rona Spiegel, responsable principale de la sécurité et de la confiance, des fusions et acquisitions chez l'éditeur Autodesk et ancienne responsable de la gouvernance cloud chez Wells Fargo et Cisco. « Les hackers, surtout avec l'IA et l'automatisation, ont des pratiques de plus en plus sophistiquées et n'ont besoin d'avoir raison qu'une seule fois, tandis que le RSSI doit lui avoir raison tout le temps ! Il suffit d'une seule erreur pour être blâmé... Vous êtes un centre de coûts opérationnels quoi qu'il arrive, car vous ne générez pas de revenus. Donc, si quelque chose tourne mal... tous les chemins mènent au RSSI », résume-t-elle. Elle souligne qu'il s'agit d'un risque que les RSSI connaissent depuis longtemps, mais qu'ils commencent à remettre en question, et qui a finalement un impact sur la durée de leur présence dans une même organisation. Une enquête de l'éditeur cyber IA Blackfog montre que 70% des RSSI déclarent que les récits d'autres RSSI, tenus personnellement responsables d'incidents de cybersécurité dans leur organisation, ont une incidence négative sur leur opinion de la fonction.

Au-delà du titre de RSSI

« En cybersécurité, notre rôle consiste à gérer les risques. Les RSSI doivent donc partager avec le conseil d'administration, le comité d'audit et l'équipe de direction la probabilité et l'impact d'un incident, puis recommander des mesures d'atténuation pour le compenser, poursuit Rona Spiegel. Ils doivent ensuite déterminer si le risque résiduel est acceptable, car, finalement, lorsqu'un incident survient, même involontairement, tous leurs conseils sont oubliés. » Comme le souligne Tom Chapman, sans surprise, les RSSI se demandent également si leur salaire est réellement à la hauteur du risque qu'ils prennent. « À Londres notamment, leurs rémunérations sont intéressantes, mais loin d'être comparables à celles pratiquées aux Etats-Unis. Ensuite, ils s'interrogent : est-ce vraiment rentable ? Cela dépend bien sûr de l'individu, de son appétence au risque et de ses motivations.

Cependant, tous ceux qui quittent leur poste de RSSI ne le font pas par épuisement. Pour beaucoup, c'est aussi une question d'adéquation avec leurs attentes, de motivation et d'orientation professionnelle. « Je ne crois pas qu'il faille rester RSSI trop longtemps au même endroit, car on entre dans une forme de routine, on perd son instinct, estime Shahar Geiger Maor. Diriger sous une menace constante permet au contraire de rester alerte. » Il voit également des RSSI se réorienter vers des domaines connexes. « En rejoignant un fournisseur de sécurité ou en évoluant vers des postes de direction. D'autres prennent progressivement des postes de RSSI plus importants. Mais certains de mes collègues en ont tout simplement assez. Ils préfèrent gagner moins et vivre mieux. »

Un rôle encore en évolution

Tom Chapman constate également une augmentation du nombre de RSSI à temps partiel, recrutés pour mettre en place des cadres ou superviser des projets spécifiques. « Certains aspirent à un poste clé, à s'adresser au conseil d'administration et à communiquer sur les risques, explique-t-il. Mais d'autres pensent au contraire ce n'est pas le rôle d'un RSSI. »

La communication est un facteur déterminant pour l'épanouissement ou, au contraire, l'épuisement d'un RSSI. « C'est incroyable de voir combien de clients me confient que la qualité qu'il recherche en priorité chez leur futur RSSI est la communication, s'étonne Tom Chapman. Que ce soit avec le conseil d'administration, les autres dirigeants ou les équipes de l'entreprise. »

Les RSSI sont affublés de responsabilités de plus en plus nombreuses, exposés aux risques et au sentiment qu'aucune préparation ne peut les protéger totalement des reproches qu'ils essuieront en cas d'incident majeur. Et finalement, pour certains, c'est une raison suffisante pour abandonner. Pour d'autres, c'est au contraire un moteur pour relever le prochain défi. Reste à savoir si ces RSSI tiendront plus d'un an dans leur futur poste.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis