Comment manager son RSSI
Quand la tension managériale fragilise durablement la fonction RSSI
Contexte
Les relations conflictuelles entre un RSSI et son manager sont loin d’être marginales. Je les ai vues se répéter, dans des contextes différents, avec des profils pourtant compétents et engagés. Ce n’est pas toujours explosif, mais souvent latent, usant, installé dans la durée. Et quand cette tension s’installe, elle finit presque toujours par produire le même effet : un RSSI qui s’épuise, puis qui part.
Ce type de relation dégradée a une conséquence directe : un turnover élevé des RSSI. Les départs s’enchaînent, parfois sans bruit, parfois dans la crispation. Pour l’organisation, l’impact est lourd : perte de continuité, stratégies cyber abandonnées en cours de route, crédibilité affaiblie auprès des équipes et des partenaires. À force de changements, la cybersécurité devient instable, alors même qu’elle devrait s’inscrire dans le temps long.
Problème
Le RSSI est souvent investi d’une forme de « cause supérieure ». Il porte la cybersécurité comme une mission, parfois au-delà des besoins réels et immédiats de l’organisation. Cet engagement, sincère et professionnel, peut devenir désaligné. Un de mes managers parlait de surqualité : faire trop bien, trop vite, trop fort, sans toujours tenir compte du contexte business, des priorités ou de la maturité réelle de l’entreprise.
Le RSSI évolue dans un univers fortement normé. Les référentiels de l’ANSSI, les normes et standards structurent son quotidien et deviennent naturellement ses points d’appui. Le risque, à terme, est de s’y enfermer. Ces cadres sont précieux, mais lorsqu’ils ne sont pas contextualisés, ils peuvent rigidifier la posture du RSSI et créer un décalage avec une organisation qui avance, elle, sous des contraintes très différentes.
Le RSSI est souvent très solide techniquement, mais beaucoup moins à l’aise sur le terrain de la communication. Expliquer un risque, défendre une position, adapter son discours à des non-experts n’est pas inné. Or, la cybersécurité repose largement sur ces capacités. Sans accompagnement, ce décalage crée des incompréhensions, parfois des tensions, et renforce l’isolement du RSSI dans l’organisation.
Décision clé
Plutôt que de corriger ou de contraindre, la décision est d’accompagner le RSSI dans la navigation de ces difficultés, en partageant de l’expérience concrète, du recul managérial et une lecture plus large des contraintes de l’organisation.
Étapes
Installer une relation de confiance réelle
La première étape consiste à construire une relation de confiance profonde avec le RSSI, comme on le ferait avec n’importe quel autre collaborateur clé. Cela paraît évident, mais c’est souvent négligé. Le RSSI est perçu comme un rôle, une fonction de contrôle, rarement comme une personne. Sans espace d’échange sécurisé, il s’isole, durcit ses positions et perd en lucidité. La confiance permet au contraire d’exprimer les doutes, d’ajuster les priorités et de désamorcer les tensions avant qu’elles ne deviennent structurelles.
Contextualiser le niveau de cybersécurité attendu
Il est essentiel d’aider le RSSI à remettre le niveau de cybersécurité dans son contexte réel. Tout n’a pas vocation à être sécurisé au plus haut niveau immédiatement, même si, sur le papier, ce serait l’idéal. L’entreprise avance avec des contraintes budgétaires, humaines, opérationnelles. Sans cette contextualisation, le RSSI porte une pression permanente, souvent irréaliste. Le rôle du manager est d’aider à prioriser dans le temps, à accepter des trajectoires progressives et à transformer une vision idéale en un plan atteignable.
Utiliser les cadres sans s’y enfermer
Les référentiels de l’ANSSI et les normes sont des outils puissants pour structurer une démarche cybersécurité. Ils apportent un langage commun, une crédibilité et un cadre rassurant. Le rôle du manager est d’aider le RSSI à les utiliser comme des leviers, pas comme des contraintes absolues. Il s’agit de contextualiser le niveau d’exigence à la réalité de l’entreprise, à son secteur et à sa maturité. Bien employés, ces cadres aident l’organisation ; appliqués mécaniquement, ils peuvent créer des blocages durables.
Échanger en commun avec des pairs
L’enjeu n’est pas d’envoyer le RSSI seul discuter avec ses pairs, mais d’y aller ensemble, en binôme manager–RSSI. Ces échanges communs permettent de partager une lecture alignée des pratiques du secteur, des niveaux d’exigence réellement appliqués et des arbitrages faits ailleurs. Ils évitent aussi les malentendus internes : chacun entend la même chose, au même moment. Cette démarche renforce la cohérence managériale et ancre la stratégie cybersécurité dans une réalité partagée.
Intégrer la cybersécurité dans la communication de la DSI
La cybersécurité ne peut pas rester cantonnée à des échanges techniques ou à des alertes ponctuelles. Elle doit faire partie intégrante du plan de communication de la DSI. Le manager a un rôle clé pour aider le RSSI à structurer ce discours : messages simples, réguliers, compréhensibles, orientés enjeux métiers. Cette intégration permet de sortir la cybersécurité d’une posture défensive et de la repositionner comme un sujet transverse, porté collectivement.
Partager aussi ses erreurs de manager
Accompagner un RSSI passe aussi par une forme d’humilité managériale. Partager ses propres erreurs de communication, ses mauvais arbitrages passés ou ses incompréhensions permet de rééquilibrer la relation. Cela montre que la difficulté à bien communiquer en cybersécurité n’est pas un défaut individuel, mais un sujet complexe. Cette posture ouvre un espace d’apprentissage mutuel, désamorce la pression et aide le RSSI à progresser sans se sentir jugé.
Erreurs à éviter
1. Laisser la relation se dégrader dans le temps
Laisser une relation tendue s’installer durablement entre un manager et son RSSI est une erreur lourde de conséquences. La cybersécurité nécessite de la continuité et de la confiance. Quand le conflit devient latent, les décisions se crispent, les alertes sont mal perçues et le RSSI finit par se désengager.
2.Ne pas accompagner la montée en compétence
Penser qu’un RSSI très qualifié n’a pas besoin d’accompagnement est une erreur courante. La technique ne suffit pas. La capacité à convaincre, à prioriser et à adapter son discours est essentielle. Sans soutien, le RSSI se retrouve seul face à des attentes contradictoires.
3.Isoler le RSSI de la communication globale de la DSI
Exclure le RSSI de la stratégie de communication de la DSI est une erreur fréquente. La cybersécurité est alors perçue comme un sujet à part. En l’intégrant au discours global, on aligne les messages et on renforce la crédibilité de la démarche cyber.
Conclusion
Le RSSI, malgré un profil souvent très qualifié, a lui aussi besoin d’accompagnement. Sa fonction est exigeante, exposée, parfois isolante. Bien le manager ne consiste pas à brider son engagement, mais à l’aider à s’inscrire durablement dans la réalité de l’organisation. Quand la relation est saine, contextualisée et alignée, la cybersécurité gagne en efficacité, en stabilité et en crédibilité sur le temps long.
Ressources CyberLead
Prochainement
Nous sommes fier de vous annoncer que notre kit RSSI V3 sera bientôt disponible. Notre vision est claire : Faire de ce kit la référence du marché et qu’il devienne un indispensable à tout RSSI.
Si l’article vous a plu, n’hésitez pas à le faire circuler dans votre réseau : un simple partage nous aide beaucoup.