Selon une étude menée par le CESIN, 61% de ses membres ont un niveau de stress susceptible d'avoir des conséquences néfastes sur leur santé. La prochaine grande menace pour la sécurité des entreprises ne résidera donc peut-être pas dans une nouvelle souche de logiciels malveillants ou dans les tactiques, techniques et processus innovants adoptés par les cybercriminels.
Elle pourrait en effet bien venir de la santé mentale des responsables de la sécurité des systèmes d’information (RSSI), du fait de la pression à laquelle ils sont confrontés au quotidien.
L’équipe chargée de la sécurité n’est pas la seule sous pression au sein des entreprises. Des collaborateurs qui exercent des fonctions différentes doivent également répondre à des objectifs et des exigences très strictes, parfois même impossibles à atteindre. Mais ce qui rend le métier du RSSI unique, c’est sa relative nouveauté quand la plupart des autres fonctions d’une organisation moderne existent depuis des décennies et sont donc relativement bien définies.
Un rôle aux responsabilités peu claires
Le responsable de la sécurité IT se retrouve souvent responsable de toute défaillance liée à la présence numérique d’une organisation, soit des attributions d’une très grande ampleur. Si les données des consommateurs sont compromises, le RSSI peut ainsi être tenu responsable de toutes les implications qui en résultent en termes de conformité, de service client et de marque. Si des paiements frauduleux sont effectués, il peut également être tenu responsable des conséquences financières qui en résultent, ou bien dans le cas où des machines sont endommagées ou des processus sont perturbés à la suite d’une attaque. De plus, si des employés transfèrent des données dans un système basé sur le cloud, le RSSI en porte encore probablement la responsabilité, même si ses équipes ne sont pas au courant. Et si un nouveau type de menace, inconnu jusqu’alors, compromet les systèmes d’une manière que personne n’aurait pu prévoir, une fois de plus : c’est de sa faute.
En réalité, tout ce qui a trait à la sécurité des entreprises est plus nébuleux en termes de responsabilité. Quel que soit le niveau hiérarchique dans l’entreprise, les rôles en matière de sécurité sont récents et ne bénéficient que rarement d’une description de poste standard, par rapport aux autres fonctions dans l’entreprise. Par exemple, la gestion des contrôles d’accès peut relever de la compétence du RSSI dans une organisation, tandis que dans une autre, cela sera la responsabilité de l’équipe réseau.
Les attentes extérieures
La pression est d’autant plus forte que la direction n’a pas forcément des attentes réalistes quant à la capacité du RSSI, et de son équipe, à protéger les données et les applications de l’entreprise. Les CEO, CFO, COO et directeurs juridiques considèrent souvent la sécurité comme une équation mathématique. Ils pensent que le responsable de la sécurité est en mesure d’identifier toutes les lacunes possibles, puis de les combler. La proposition semble simple mais, dans la réalité, la sécurisation d’une infrastructure d’entreprise vaste et dynamique est tout sauf un exercice facile.
De plus, l’équipe de direction et le conseil d’administration attendent souvent du RSSI une réponse immédiate à toutes les questions qu’ils peuvent se poser. Si la personne est incapable de répondre à l’instant T, ses performances professionnelles sont susceptibles d’être remises en question, directement ou indirectement. Pourtant, l’organisation peut utiliser plusieurs centaines d’applications et d’outils, qui se sont accumulés au fil des ans. Avoir besoin de temps pour se pencher sur une question, et enquêter en conséquence, n’est donc pas si surprenant.
Par ailleurs, les attentes des clients en termes d’expérience d’achat et de qualité de services, mais aussi de respect de la vie privée et la confidentialité des données, ajoutent une pression supplémentaire sur l’équipe de sécurité. En effet, des consommateurs insatisfaits ne vont pas hésiter à abandonner leurs achats ou à se plaindre sur les réseaux sociaux ; ce qui impacte directement le chiffre d’affaires et la réputation de l’organisation. Enfin, l’environnement réglementaire n’est pas à négliger dans les charges mentales qui s’exercent au quotidien sur les RSSI : beaucoup d’entre eux doivent démontrer à de nombreux organismes compétents que leur entreprise garantit la sécurité dans des domaines spécifiques.
Pour certains RSSI, ces facteurs de stress sont aggravés lorsqu’un sentiment de responsabilité vis-à-vis de la communauté ou de la nation vient s’ajouter aux missions confiées. Des oléoducs aux entités gouvernementales, en passant par les établissements de santé, sont autant d’infrastructures critiques qui ont récemment été impactées par des ransomwares. La sécurité nationale est désormais à l’ordre du jour des responsables de la sécurité, un enjeu qui ne peut pas être ignoré mais pour lequel ils n’ont pas forcément reçu de formation.
Les conséquences sur la santé mentale
Tous ces facteurs s’accumulent et créent une anxiété importante chez de nombreux RSSI et au sein des équipes de sécurité. En parallèle, les hackers mettent continuellement les compétences de ces professionnels à l’épreuve, à la recherche de la moindre erreur qu’ils pourraient exploiter à leur avantage. Du point de vue de la santé mentale, le bilan est donc lourd. Cependant - à l’inverse des militaires, par exemple, qui sont soumis à des pressions similaires - les équipes de sécurité manquent de lisibilité sur leur mission ainsi que d’une structure de soutien ; obtenues au fil des siècles par les forces armées.
De nombreux RSSI ont ainsi été touchés par des problèmes de santé mentale ces dernières années. Pourtant, beaucoup d’entre eux hésitent à en parler. En effet, s’il est facile de demander à la direction des ressources ou des outils supplémentaires en argumentant chiffres à l’appui une meilleure rentabilité, il est plus difficile de justifier un soutien psychologique. Des RSSI estiment également que cela serait perçu comme un manque de compétences et qu’une discussion sur le sujet indique qu’ils sont inaptes pour accomplir leur travail.
Cependant, laisser les problèmes de santé mentale s’envenimer peut avoir des conséquences désastreuses qui viendraient s’ajouter à la pénurie de personnel de sécurité :
- L’épuisement professionnel (burn-out) des RSSI, un phénomène que beaucoup connaissent déjà dans une certaine mesure ;
- Le choix de certains jeunes diplômés de ne pas poursuivre une carrière dans la sécurité, parce qu’ils ne veulent pas en subir le stress.
- Un turn-over élevé. En effet, une étude de ThreatConnect montre que les niveaux de stress élevés figurent parmi les trois principales causes de départ des employés, citée par 27 % des personnes interrogées.
- La gestion du stress par l’automédication et l’alcool ; un effet, très alarmant, du tabou autour de la santé mentale. Début 2019, avant la pandémie, Forbes avait publié les résultats d’une enquête dans laquelle 1 RSSI sur 6 admettait se tourner vers ces options pour faire face au stress lié au travail. Mais ils étaient probablement beaucoup plus nombreux à ne pas admettre être dans une situation semblable à l’époque.
Or, le niveau de stress des RSSI a augmenté pendant la pandémie, en raison de la mise en place du télétravail et de la nécessité d’accéder aux ressources numériques à tout moment ; ce qui a multiplié les risques de compromission et de perturbation. Tous ces bouleversements et le besoin d’augmenter la productivité ont eu des répercussions sur la santé mentale des responsables de la cybersécurité et représentent une manne pour les cybercriminels. Un RSSI moins vigilant constitue en effet un risque majeur pour la sécurité.
Que faire ?
Les entreprises doivent s’attaquer à la crise de la santé mentale, tant pour garantir une réponse rationnelle lorsque la sécurité de l’organisation est en jeu, que pour former, attirer et fidéliser les meilleurs talents pour faire face aux cybermenaces. Pour ce faire, les directions doivent prendre conscience du niveau de pression auquel les RSSI et leurs équipes sont soumis au quotidien. L’objectif est de promouvoir auprès de ces équipes un équilibre sain entre vie professionnelle et privée, et de veiller à ce que l’entreprise offre un environnement sûr pour solliciter une aide en matière de santé mentale. Il est également nécessaire de mettre en place des outils simples pour gérer le stress, qui ne soient ni chronophages ni pénalisant pour les RSSI.
Au sein d’une entreprise, chacun a son rôle à jouer dans la sensibilisation des dirigeants à cette crise susceptible d’émerger à tout moment, afin qu’ils prennent conscience que ce travail est difficile et que de nombreux RSSI nourrissent des inquiétudes légitimes quant à la possibilité d’évoquer des problèmes de santé mentale. Il convient de rappeler aux dirigeants d’entreprise qu’ils doivent tendre la main à leur responsable de la sécurité IT de manière proactive et sans jugement. Car si les RSSI seront toujours sous pression du fait de leurs tâches complexes et importantes, il existe des méthodes qui peuvent aider à atténuer ce stress.