Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) et la société Advens ont conduit une étude avec le concours de spécialistes, portant sur le stress des Responsables en Cybersécurité. Elle met au jour une profession éprouvante, soumise à un niveau élevé de stress dû à des ennemis souvent invisibles.
La sérénité serait-elle un doux rêve pour la plupart des professionnels de la cybersécurité ?Menée auprès d’un échantillon de 330 répondants, dont 60 % de RSSI (responsables sécurité des systèmes d’information) et 20 % de Directeurs Cybersécurité, l’étude du CESIN et d’Advens constate un niveau de stress élevé.
Précisons qu’ils ne sont pas les seuls à être stressé, c’est également le cas des DSI avec la transformation numérique.
Avec le concours d’un coach et d’un médecin oncologue, ces deux entités ont pu établir un niveau moyen de 18,4 : cela traduit un niveau collectif de stress élevé. 130 personnes (soit 39 % des répondants) se situent dans la zone verte, tandis que 61 % des répondants sont en zone orange (33 %) ou rouge (28 %), et subissent donc un stress aux effets négatifs.
Cette évaluation du niveau de stress se base sur un modèle de mesure reconnu (la PSS, Perceived Stress Scale), dont l’objet est la détermination du niveau de stress ressenti.
Risque de dépression clinique
Avec l’échelle PSS utilisée, donnant une évaluation allant de 0 à 40, le stress est jugé positif ou stimulant si le niveau est inférieur à 16. Entre 16 et 24, il existe des sentiments d’impuissance occasionnels et des perturbations émotionnelles.
Au-delà de 22, l’individu se situe en « zone rouge », accompagnée de risques accrus pour la santé physique et mentale, et un sentiment de menace et d’impuissance. Sur les 92 personnes qui se trouvent en zone rouge, 62 personnes sont en risque de burnout. Parmi celles-ci, 22 personnes sont même dans une zone à risque de dépression clinique, avec un score supérieur à 28 sur 40.
Un stress élevé peut être supportable sur une durée courte. Mais dans la durée, il peut impacter sérieusement la santé mentale. Ce stress peut impacter la performance des responsables Cyber et, in fine, la performance des dispositifs de Cybersécurité.
Concernant les causes du stress, les questions posées ont été organisées suivant une typologie de 8 familles de facteurs : coercition et surveillance, complexité et évolutivité, transversalité, combat et adversité, incertitude et inconnu, gestion de crise, communication et conviction, responsabilité et culpabilité.
Parmi les facteurs les plus contributifs du stress, se trouvent notamment le contexte d’adversité, la difficulté à déconnecter, la relation à la responsabilité et la culpabilité et le sentiment d’incertitude et d’imprévu au quotidien. A cela s’ajoutent les évolutions permanentes de la fonction et de son contexte.
Un sentiment d’impuissance et de découragement
Les personnes les plus touchées par le stress éprouvent un sentiment d’impuissance et de découragement devant la puissance des attaques cyber. Autre élément notable : la majorité des répondants estiment qu’un incident majeur pourrait leur faire perdre leur poste.
Plus précisément, 82 % des répondants confirment le contexte d'adversité, face à des ennemis souvent invisibles, 52 % des répondants se sentent en permanence sur le qui-vive, près d’un quart des répondants ne se font pas aux aléas et imprévus du métier et 28 % se sentent découragés devant l’augmentation de la fréquence et de la puissance des cyberattaques.
38 % des répondants déclarent que leur métier souffre « encore » d’un a priori plutôt négatif, 47 % se sentent encore incompris, voire jugés parfois excessifs et 54 % estiment qu’une crise majeure pourrait leur coûter leur poste. Ce dernier chiffre passe à 65 % pour les répondants de la zone rouge.
« La question du stress des responsables Cyber ne peut pas être occultée et une prise de conscience est nécessaire. Un des moyens de l’éviter est déjà de le reconnaître et de soutenir les RSSI dans l’entreprise », prévient Alain Livartowski, oncologue à l’Institut Curie, participant à l’enquête.
Mise en place d’un baromètre annuel
Les résultats de cette enquête sont préoccupants et incitent à poursuivre la démarche. Le CESIN, avec le concours de la société Advens, mettra en place divers travaux et dispositifs, ainsi qu’un baromètre annuel pour suivre l’évolution de cette étude.
« Cette étude confirme qu’il était urgent de se pencher sur la charge mentale des professionnels de la Cyber, afin d’identifier des pistes pour prendre soin de ceux qui assurent, chaque jour, un travail de défense complexe et exigeant. L’ambition est que les Responsables Cyber se sentent pleinement en accord avec les valeurs et les spécificités de ce métier singulier. Le CESIN est pleinement engagé dans cette démarche », insiste Mylène Jarossay, présidente du CESIN.