Alors qu’une entreprise sur 2 a été victime d’une attaque réussie au cours des trois dernières années, 81 % des professionnel.le.s de la cybersécurité pensent que le paysage des menaces n’a jamais été aussi complexe. Le rapport de SoSafe porte
sur 250 professionnel·le·s de la cybersécurité, issu·e·s de 7 pays d’Europe de l’Ouest dont la France. Certes, il dresse un tableau apocalyptique des risques qu’il faut pondérer mais il a le mérite de pointer en détail leur nature et leur importance. L’assureur Allianz affirme que les cyberincidents conservent le titre de risque majeur pour les entreprises.
Face aux contraintes et aux risques, une majorité des professionnels de la sécurité en France (56 %) sont victimes d’épuisement professionnel (burnout), dont 24 % à un niveau élevé et 32 % à un niveau modéré. C’est un signe alarmant à ne pas négliger pour les dirigeants des organisations de travail. Sur le podium des métiers visés dans l’entreprise figurent le département IT et les équipes de sécurité, la finance (27 %)
et les ventes (17 %).
Le facteur humain reste le maillon faible avec les menaces via l’ingénierie sociale, dont le phishing ainsi que les erreurs humaines responsables, selon Verizon,
de 75 à 85 % des incidents.
Le graphique ci-dessous est instructif et met la loupe sur les leviers utilisés par les pirates pour tromper la confiance, la crédulité et autres failles humaines.
Le burnout, un facteur aggravant pour les violations de sécurité
Réalité ou fausse image ? Toujours est-il que 83 % des professionnel.le.s de la cybersécurité assurent que le burnout a été la cause d’erreurs ayant entraîné des violations de sécurité dans leur service.L’épuisement professionnel serait de plus en plus fréquent dans le secteur de la cybersécurité. Parmi les principaux facteurs à l’origine du burnout, figure la forte pression crée par les risques est citée par 34 % des répondants, suivie par de longues journées de travail ou les nombreuses heures supplémentaires pour 20 % des équipes de sécurité. Des charges de travail excessives auxquelles s’ajoute l’urgence de l’immédiateté pour 31 % des répondants. D’autre part, la sécurité de la chaîne d’approvisionnement, soulignée par 84 % des responsables, est une contrainte supplémentaire.
L’IA devient un facteur de risque accru car elle permet d’améliorer la collecte d’informations sur les victimes et la qualité des emails de phishing. De quoi tromper plus facilement
les filtres anti-spam.
Le poids de l’instabilité mondiale est plus un sentiment de préoccupation qu’une réalité mais 78 % du panel de l’étude la citent cependant. La pénurie de personnel est aussi un facteur de stress important, qui touche l’ensemble du secteur pour 24 % des personnes interrogées par le rapport de SoSafe. Selon l’étude 2023 Workforce Study de l’ISC2, il faudrait, au niveau mondial, 29 % de travailleurs supplémentaires en cybersécurité pour combler ce déficit.
Une véritable culture de la sécurité IT reste encore à s’installer durablement. Encore faut-il qu’elle soit bien comprise et acceptée par le personnel.