Le Burn out touche de plus en plus de monde, y compris les équipes dédiées à l’informatique ou à la sécurité informatique. Selon une étude de 1 Password, cette situation n'affecte pas seulement la productivité. Elle présente également des risques en matière de cybersécurité.

Intitulé « The Burnout Breach », ce rapport est basé sur une enquête menée en octobre auprès de 2 500 adultes aux États-Unis et au Canada qui travaillent à temps plein principalement devant un ordinateur.

Les personnes interrogées comprenaient 2 000 employés de bureau et 500 professionnels de la sécurité ayant un titre de responsable ou plus. Le bilan est inquiétant.

Comme une majorité de Français qui se disent « fatigués » depuis la pandémie, une majorité de salariés - employés de bureau et professionnels de la sécurité – indiquant être dans le même état. Cette étude corrobore ainsi les résultats d’une étude menée par le CESIN et Advens qui constatait un niveau de stress élevé des RSSI et DSI.

Les politiques de sécurité ne valent rien !

Quelque 10 % des professionnels de la sécurité et 5 % des employés de bureau ont déclaré que l'épuisement les avait laissés « complètement à l'écart » et qu'ils « faisaient le strict minimum au travail ».

En outre, 32 % des professionnels de la sécurité ont déclaré être à la recherche d'un nouvel emploi ou sur le point de démissionner en raison de l'épuisement professionnel.

Menée par 1 Password, gestionnaire de mots de passe, cette enquête porte logiquement sur les risques liés à la sécurité informatique. Et le résultat n’est pas surprenant. Ceux qui se sentent épuisés sont également plus susceptibles de ne pas respecter les directives et les règles de base en matière de sécurité.

Quelque 20 % des employés de bureau épuisés et 44 % des professionnels de la sécurité ont déclaré que les politiques de sécurité « ne valent pas la peine d'être appliquées ». Parmi ceux qui ne se sentent pas épuisés, seuls 7 % des employés de bureau et 19 % des professionnels de la sécurité ont exprimé la même attitude.

À titre d'exemple, 48 % des employés épuisés ont déclaré télécharger ou utiliser des logiciels au travail sans l'autorisation du service informatique. 59 % des employés épuisés ne respectent pas les règles de sécurité lorsqu'ils définissent leurs mots de passe professionnels, optant pour des mots de passe faciles à retenir ou réutilisant les mêmes mots de passe.

Près de la moitié des professionnels de la sécurité ont déclaré qu'il était irréaliste pour les entreprises de connaître et de gérer toutes les applications et tous les appareils utilisés par les employés au travail.

Des applications non approuvées par la DSI

Le travail à distance a ouvert la porte à des risques de sécurité encore plus importants pour les employés. Quelque 22 % des professionnels de la sécurité et 6 % des employés de bureau ont déclaré qu'ils laissaient les membres de leur famille, leurs colocataires ou leurs amis utiliser leur ordinateur professionnel.

Plus de la moitié des professionnels de la sécurité et un tiers des employés de bureau ont déclaré utiliser leur ordinateur personnel pour travailler. En outre, un tiers des professionnels de la sécurité et 7 % des employés de bureau ont déclaré installer des applications ou des extensions de navigateur non approuvées par leur organisation.

Plus que jamais, le shadow IT reste difficile à contrôler par les entreprises.

Dans ces conditions, il n’est pas étonnant que parmi les professionnels de la sécurité, 60 % ont révélé que leur entreprise avait été touchée par une menace l'année dernière, citant l'usurpation d'identité sur les réseaux sociaux, le phishing sophistiqué et les attaques DDoS comme les plus courantes.

Les ransomwares ont été cités comme l'une des trois principales préoccupations par 52 % des professionnels de la sécurité, bien que seul un quart d'entre eux ait déclaré avoir été confronté à une attaque de ransomware au travail.

L’hameçonnage est une autre préoccupation majeure : plus de la moitié des employés de bureau ont déclaré ne pas être en mesure de dire si un courriel reçu était un message d’hameçonnage ou non.

Les formations de sensibilisation à la cybersécurité devraient peut-être inclure un chapitre sur le bien-être au travail…