Selon une étude de l’université de Londres pour Symantec (1), 85 % des RSSI français se disent au bord du burn-out, 65 % se sentent voués à l’échec, autant envisagent de démissionner et de quitter le secteur de la cybersécurité.
Toutefois, pour les auteurs de l’étude, « la plupart des responsables sécurité sont apparemment accros à l’adrénaline, totalement absorbés par leur fonction et par la possibilité de faire la différence, même quand leur travail est stressant. » Chris Bauer, directeur de l’innovation au Goldsmiths College de l’université de Londres, estime que « le stress a des effets considérables sur notre capacité à prendre les bonnes décisions. Il altère le fonctionnement de la mémoire, perturbe le raisonnement rationnel et a un effet délétère sur toutes les fonctions cognitives. Dans un secteur tel que la cybersécurité, qui exige concentration, imagination, attention aux détails et prise de décision rationnelle sous pression, le stress peut devenir un handicap. Dans un secteur qui souffre déjà d’une pénurie de compétences, ce type de stress peut donc présenter un risque important. »
Plusieurs raisons expliquent cet état de stress : le durcissement de la réglementation, la complexité de l’organisation, la multiplication des menaces, l’obligation de sécuriser des volumes croissants de données, une multitude de produits et de fournisseurs à gérer et le manque de compétences.
Les RSSI n’échappent pas à la malédiction de tout manager : la rareté du temps, ressource la plus précieuse. Elle est notamment consommée par des tâches dont l’utilité est discutable. La période actuelle ne va hélas pas arranger la situation, les RSSI étant très sollicités en période d’incertitude.
Selon IDC France, il existe cinq principaux freins à l’amélioration de la sécurité informatique dans les entreprises :
• Le temps passé à la gestion et à la maintenance des outils de sécurité au détriment des investigations : 62 % des entreprises.
• L’équilibre des priorités de sécurité et des priorités métiers : 43 %.
• L’utilisation non encadrée du cloud (shadow IT) : 37 %.
• Des ressources opérationnelles trop occupées à gérer les activités quotidiennes : 37 %.
• La complexité des différents tableaux de bord de sécurité : 36 %.
Toutefois, les entreprises ont quand même tout intérêt à recruter des RSSI ayant été confrontés à une faille de sécurité. Chris Bauer estime ainsi que le fait d’avoir vécu, et surmonté, une faille diminue considérablement le niveau de stress futur des responsables de la sécurité et leur propension à partager leurs connaissances : « Si je vous présentais deux candidats à un poste de RSSI possédant des compétences identiques, et que l’un des deux, du fait d’avoir déjà été confronté à une gestion de crise, trouvait la gestion des réglementations moins stressante, était moins susceptible de souffrir de surmenage et davantage disposé à partager les enseignements qu’il a tirés au cours de sa carrière, lequel choisiriez-vous ? » Selon l’étude du Goldsmiths College de l’université de Londres, les professionnels de la cybersécurité qui ont été confrontés à une faille sont :
- 24 % moins susceptibles de se sentir surmenés.
- 20 % moins susceptibles de se sentir indifférents à l’égard de leur travail.
- 15 % moins enclins à se sentir personnellement responsables d’un incident qui aurait pu être évité.
- 14 % moins susceptibles de juger leur travail comme « voué à l’échec », d’être plus volontaires à partager leur expérience et leur apprentissage et sont moins susceptibles à envisager de changer de job.
Une étude réalisée par l’université de Pennsylvanie (3) a révélé que la simple anticipation du stress peut même avoir un impact sur les fonctions cognitives tout au long de la journée. Les personnes qui se réveillent avec le sentiment qu’une journée stressante les attend ont des problèmes de mémoire au travail, une fonction qui leur permet d’assimiler et de retenir des informations même si elles sont distraites. Pour les chercheurs, l’anticipation du stress a un impact sur la cognition, même si aucun événement stressant ne se produit. Une étude réalisée en 2015 (4) avait déjà mis en exergue ce qui empêchait les RSSI de dormir : ne pas savoir où sont stockées les données sensibles de leurs entreprises, les erreurs commises par les sous-traitants et ne pas savoir quels sont les risques réels associés aux données. Les autres inquiétudes concernaient les infogérants, la migration vers le cloud, les attaques de hackers, la non-conformité et les erreurs des salariés.
(1) État d’alerte : lutter contre le surmenage des équipes cybersécurité, Symantec.
(2) IDC France, conférence Cybersécurité, mars 2020.
(3) « Experiencing a Stressful Day May Lower Cognitive Abilities Throughout the Day », Université d’État de Pennsylvanie, Neuroscience News, 3 juillet 2018.
(4) The State Data Security Intelligence, Ponemon Institute-Informatica.
L’état d’esprit des RSSI français, britanniques et allemands
Source : Goldsmiths College, université de Londres, Symantec.