Depuis quelques temps, les médias – notamment anglo-saxons – font un triste constat. Les responsables cyber seraient en pleine crise ! Burn-out à répétition, dépression, consommation excessive de médicaments, d’alcool… Les responsables en cybersécurité seraient-ils stressés ? C’est ce que révèle une étude sur le sujet publiée en septembre et réalisée par Advens, société française indépendante spécialisée dans le conseil en cybersécurité, et le Cesin (Club des experts de la sécurité de l’information et du numérique). En cause : les menaces permanentes et leur imprévisibilité, source d’un cyberstress important.
En France, il ressort ainsi que le niveau collectif de stress de la profession (directeur de cybersécurité ou RSSI, pour responsable de la sécurité des systèmes d’informations) est élevé. Le panel de répondants éprouve un stress qui cause un « sentiment d’impuissance occasionnel entraînant des perturbations émotionnelles, et des situations parfois difficiles à gérer », souligne l’étude.
Pas de « journée type «
« Ce constat préoccupant s’explique par des particularités uniques aux métiers de la cybersécurité« , analyse Benjamin Leroux, directeur marketing et RSSI chez Advens. Quatre facteurs de stress prédominent : la relation à la responsabilité et à la culpabilité (22%), le contexte de combat et d’adversité (20%), la part importante d’incertitude et d’inconnu (18%) et enfin, la complexité et l’évolutivité de la fonction (18%). « C’est un métier très particulier car la journée type n’existe pas. Chaque jour, le RSSI vit avec une épée de Damoclès : il doit affronter des menaces invisibles, portées par des attaquants plus forts que lui car il s’agit de groupes extrêmement organisés dotés de moyens importants, détaille Benjamin Leroux. À cela, il faut ajouter l’évolutivité du métier : il y a toujours des nouvelles attaques à anticiper, de nouveaux périmètres à protéger (cloud, objets connectés…). En cas d’échec, beaucoup de questions se posent : ai-je mal fait mon travail ou suis-je tombé sur plus fort que moi ? Puis-je être tenu responsable de tout ou dois-je faire en sorte que le niveau général de sécurité s’améliore ? »
Ce stress fait même penser à 54% des RSSI qu’une crise majeure pourrait leur faire perdre leur emploi. Cette peur peut-elle mener à des comportements discutables, comme le fait de passer sous silence certains incidents pour garder sa place ? « La question est légitime, mais cela reste de l’ordre de l’hypothèse faute de chiffres, estime Benjamin Leroux. Commencer par avouer être stressé est un début : cela peut créer un terrain favorable aux discussions autour du cyberstress en entreprise. » Pour prendre soin de la santé mentale des équipes cyber, l’étude préconise d’intégrer la gestion du stress dès le parcours de formation et de sensibiliser les ressources humaines pour mieux épauler les RSSI. « La communauté doit aussi se soigner elle-même, via des actions collectives (conférences, ateliers…) et des groupes de paroles », conclut Benjamin Leroux.
