Le Club des experts de la sécurité de l’information et du numérique (Cesin) et Advens ont publié les résultats de la seconde édition de leur enquête sur le stress des responsables de la cybersécurité en France. L’objectif de cette étude est de mesurer objectivement le niveau de stress des responsables Cybersécurité en entreprise, d’en identifier les facteurs clés et d’en comprendre les impacts.
Alors qu’il s’est imposé comme une nécessité au sein des organisations, le métier de responsable Cybersécurité s’est complexifié. Il est exposé à des menaces de plus en plus fortes et des exigences de plus en plus lourdes.
Pour autant, les résultats de l’étude 2024 mettent en avant une perception du stress ressenti plus faible qu’il y a trois ans : la proportion des responsables Cyber en situation de stress modéré à élevé est passée de 60% en 2021 à 50% 2024. Encore plus encourageant, la part de sondés qui pensent souvent ou assez souvent ne pas pouvoir assumer toutes les choses qu’ils doivent faire a reculé de 13 points, passant de 40% à 27% aujourd’hui.
S’il est désormais certains que la nature même de ce métier génère un certain niveau de stress (77 % ressentent du stress lors d’un audit, 80 % trouvent leur métier singulier dans la mesure où il fait face à des adversaires invisibles et malveillants), ce métier est vécu avec engagement et souvent avec passion.
Parmi les chiffres de cette étude :
– 86 % des répondants disent bien vivre l’adrénaline, la pression et le sentiment d’urgence généralement associés à une crise Cyber
– 80 % se sentent compris ou a minima soutenu par leurs proches pendant les périodes où ils gèrent des crises
– 79 % apprécient l’exercice d’équilibriste permanent entre les décisions à prendre et les informations disponibles pour pouvoir les prendre, tout au long d’une crise.
Bien que cette étude se concentre principalement sur les responsables cybersécurité, les équipes opérationnelles sont elles aussi quotidiennement confrontées aux défis et au stress significatif, et leur engagement est essentiel à la sécurité des organisations.
Un état de stress certain, dont les impacts sont à surveiller
Une proportion non négligeable de responsables Cybersécurité, 38%, se sent encore loin d’avoir atteint ses objectifs de maturité en termes de gestion des risques et de protection. 44% se sentent encore challengés quant à la forte évolutivité des cyber menaces.
Cette nouvelle version de l’étude s’est penchée sur des situations vécues, dans le quotidien des responsables de la Cybersécurité. 58 % des répondants avouent avoir déjà donné un avis favorable à une posture sécurité alors qu’elle était contraire à leurs convictions par découragement ou angoisse des négociations nécessaires à les faire valoir. Cette tentation de vouloir réduire le niveau d’exigence est peut-être l’une des conséquences les plus impactantes du stress associé à ce métier.
Un métier qui sait faire preuve d’adaptation et de résilience
Cet exemple ne doit pas faire oublier la grande majorité des réactions positives dont a su faire preuve le responsable Cyber. Ainsi, 44% des répondants a mis en place une astreinte pour ne plus être la seule personne à solliciter jour et nuit. 75% des répondants sont à l’aise avec l’étendue fonctionnelle et technique que doit couvrir leur métier.
Le stress existe mais il est mieux vécu. Ceci est d’autant plus important que le contexte dans lequel évoluent les responsables Cybersécurité ne s’est pas simplifié : augmentation du nombre d’attaques, renforcement du cadre réglementaire, nouveaux périmètres et nouvelles technologies à protéger… Le responsable Cybersécurité a su s’adapter et il fait preuve d’une qualité qu’on attend des environnements qu’il protège : la résilience !
« C’est définitivement l’étude de tous les paradoxes. Il y a cependant une lecture naturelle et optimiste de ces résultats : à beaucoup d’égards, on comprend que les responsables Cybersécurité ont atteint une forme « d’âge de raison » au sein de leurs entreprises. Qu’il s’agisse de l’appréhension du métier, du statut interne ou de la valorisation par les salaires, le responsable Cybersécurité a franchi un cap ; il est bien mieux considéré qu’il y a trois ans, il le ressent et c’est heureux », souligne Benjamin Leroux, d’Advens.
Pour Vincent Lefret, administrateur du Cesin, « le métier de RSSI est désormais clé dans les organisations. Les responsables Cybersécurité, à travers les données collectées sur leur niveau de stress et des facteurs associés, nous disent que les organisations ont bien pris la mesure de l’importance de leur rôle et de leur expertise dans le bon fonctionnement de l’entreprise. Cette évolution notable du métier est confirmée par nos autres travaux. Nous avons cartographié et contextualisé les situations de stress. Il appartient à chacun, dans la communauté cyber, et à ses parties prenantes, de s’emparer de ce matériau pour poursuivre la prise de conscience sur ce sujet et engager quelques actions d’amélioration. Ce qui devrait permettre de confirmer la tendance que nous avons mesurée en 2024. »
–> L’étude complète est disponible en ligne : https://cesin.fr/document.php?d=67603b50843c0