L’épuisement professionnel des RSSI : épidémie, endémie ou simple fatalité ?

L’épuisement professionnel des RSSI est en augmentation. Sommes-nous simplement plus conscients de cette condition ? Ou les exigences envers le RSSI ont-elles augmenté et l’épuisement professionnel est-il désormais la conséquence inévitable ?

Security Week, 3 novembre 2025

En 2019, l’Organisation mondiale de la santé a défini l’épuisement professionnel comme un phénomène professionnel plutôt qu’une condition médicale. En 2025, cette condition non médicale, initialement associée aux mêmes symptômes qu’un mauvais mal de tête (épuisement, négativisme et efficacité réduite), est devenue endémique dans le domaine de la cybersécurité, affectant les membres de l’équipe et les RSSI.

Deux choses sont claires : premièrement, l’épuisement professionnel est bien différent et plus extrême qu’un mal de tête, et nous n’avons pas encore suffisamment appris à le prévoir, à le détecter et à le prévenir. Deuxièmement, l’épuisement professionnel n’est pas une maladie, c’est le nom que nous avons donné aux symptômes d’une maladie non spécifiée (tout comme un mal de tête est le symptôme visible d’une maladie non spécifiée).

De toute évidence, nous devons comprendre la cause de l’épuisement professionnel (la maladie sous-jacente) et son traitement afin de pouvoir détecter, prévenir et améliorer l’effet très néfaste qu’il a sur ceux qui en souffrent et sur leur travail.

Cause de l’épuisement professionnel

Le rôle du RSSI a évolué pour devenir celui de responsable principal de la gestion de crise. Les crises ne cessent d’arriver de multiples directions et de sources apparemment infinies et souvent inconnues – et ces crises doivent toutes être résolues. Mais il y a toujours et immédiatement la prochaine. L’exigence de gagner et de maintenir la cybersécurité est finalement sans fin et futile. C’est un travail de stress continu et incessant, ponctué de périodes de stress extrême, à toute heure du jour ou de la nuit, tous les jours de la semaine.

La situation est aggravée par le problème souvent cité de la responsabilité sans pouvoir. Les RSSI sont responsables de la posture de sécurité, de la préparation et de la réponse de l’ensemble de l’organisation face à une cybercrise. Mais ils n’ont aucun pouvoir pour s’assurer que chacun, dans toute l’organisation, fasse réellement ce qu’il est censé faire. Les RSSI sont responsables de ce qui se passe, mais pas responsables de cela.

« C’est comme le contrôle de mission lors d’un vol spatial », suggère Jim Wetekamp (PDG de Riskonnect). « Le contrôle de mission n’était pas responsable de la construction du vaisseau (l’entreprise), il n’a pas formé les astronautes (les employés de l’entreprise qui conduisent le vaisseau) et il n’a pas planifié le voyage (les objectifs de l’entreprise). Ils se contentent d’exécuter dans l’instant, à travers toutes ces différentes fonctions, en devant faire confiance au fait que toutes les différentes pièces fonctionnent. »

Les autres dirigeants de l’entreprise ont beaucoup plus de pouvoir dans les domaines plus limités dont ils sont responsables.

Lisez l’article complet dans Security Week.

L’épuisement professionnel des RSSI : épidémie, endémie ou simple fatalité ?

L’épuisement professionnel des RSSI est en augmentation. Sommes-nous simplement plus conscients de cette condition ? Ou les exigences envers le RSSI ont-elles augmenté et l’épuisement professionnel est-il désormais la conséquence inévitable ?

Cause de l’épuisement professionnel

Share This, Choose Your Platform!

Related Posts

Jim Wetekamp – Une intelligence du risque connectée pour l’entreprise IA

Jim Wetekamp – Risque connecté, l’IA comme copilote et l’avenir de la résilience

Riskonnect annonce une IA à l’échelle de l’entreprise pour la gestion des risques, optimisée par Agentforce 360