RSSI, Dr Jekyll ou Mr Hyde ?

Entre l’ombre et la lumière, il est difficile d’interpréter la personnalité des RSSI (Responsable de la Sécurité des Système d’Information). Une personnalité ambivalente, à la fois discrète dans la confidentialité et communicante dans la sensibilisation. Un vrai défi pour les recruteurs. Avec l’émergence du digital et de la cybersécurité, les RSSI sont de plus en plus lumineux, mais ils gardent la part sombre d’une sécurité informatique intransigeante. Une face obscure où certains basculent irrémédiablement, piégés par la dualité de leur mission. Comme dans « L’étrange cas du Dr Jekyll et Mr Hyde », de R. Louis Stevenson.

Une autorité agressive. Quand des RSSI basculent de la coopération à l’agression. Ils deviennent agressifs pour transformer leurs décisions en commandements. Piégés par la dualité RSSI « influenceuses/eurs » et RSSI « gendarmes ». Ils appliquent la méthode d’Al Capone: « On peut obtenir beaucoup plus avec un mot gentil et un revolver qu’avec un mot gentil tout seul». La coopération consiste à créer de la confiance et à fédérer un écosystème avec les opérations et les prestataires. Basculer dans l’agressivité c’est faire usage de la contrainte, au risque d’échouer dans la mise en pratique. Même dans les moments de crise.

Le pouvoir de dire non. Quand des RSSI se transforment en machine à bloquer. Sous couvert de sécurité, ils clouent au pilori toutes initiatives et projets informatiques. Souvent pour de bonnes raisons, mais à force, certains y prennent goût. Piégés par la dualité « Bonnes pratiques » et « Certification », ils appliquent la méthode « Comply or Die ». Obnubilés par leur rôle de garant, ils ne savent plus faire le compromis entre des risques acceptables et une cybersécurité absolue. Quitte à devenir le bouc émissaire de tous projets dont personnes ne veut.

Ne faire confiance qu’aux robots. Quand des RSSI se méfient trop des humains, les considérants comme du « Bad code ». Radicalisés par la technologie, ils considèrent l’humain comme l’ennemi de la cybersécurité. Abreuvés de manuels techniques et influencés par des éditeurs, ils s’entourent de machines pour corriger l’erreur humaine. Piégés par la dualité « Sensibilisation » et « Expertise technique », ils appliquent la méthode « Fix Human ». Basculer dans une pure culture technique c’est le risque d’une communication défaillante et d’une rupture du dialogue, même avec les directions.

Devenir le maillon faible. Quand des RSSI verrouillent leur position dans la chaine de sécurité. Persuadés qu’ils sont seuls responsables dans leur mission, ils se transforment en guichet unique de la cybersécurité. Ils centralisent toutes les décisions et les actions de sécurité informatique pour être surs de ne rien laisser passer. Piégés par la dualité « Responsable » et « Coupable », ils appliquent la méthode du « Je vous l’avais bien dit ». Le siège éjectable est une réalité pour les RSSI mais la crainte du « je ne savais pas » est pire que tout. Devenir un goulot d’étranglement dans les processus c’est prendre le risque de devenir le maillon faible dans la chaine d’innovation.

Chaque RSSI doit adapter cette dualité selon son contexte et son organisation. Une adaptation subtile qui dépend de la position donnée à cette fonction et aux enjeux de cybersécurité. Certaines organisations préfèrent la version Dr Jekyll, pour une cybersécurité agile et communicante. D’autres recherchent la version Mr Hyde, pour une approche plus régalienne et non négociable. En tous les cas, cette dualité est nécessaire dans la personnalité des RSSI. C’est juste une question d’équilibre. Alors, méfiez vous du RSSI qui dort !