comzeal - stock.adobe.com

Étude : des responsables cyber sous pression ?

Le Cesin vient de publier, avec Advens, sa seconde étude sur le stress des responsables de la cybersécurité. Un sujet relativement jeune, mais bénéficiant d’un intérêt grandissant, traduisant un besoin d’appréhender objectivement la pression associée à la fonction.

Historiquement, des termes tels que « charge mentale Â», « crise d’angoisse Â», « burn out Â», « facteur de stress Â» ou « dĂ©pression Â» n’ont Ă©tĂ© que rarement associĂ©s au vocable des responsables de la sĂ©curitĂ© informatique.

Le fait, peut-ĂŞtre, de fonctions oĂą règne parfois une mĂ©connaissance, voire un mĂ©pris de ces questions : le fameux « marche ou c.... Â» a eu la vie dure dans un milieu encore très masculin oĂą parler de ses Ă©tats d’âme et de ses craintes n’est pas forcĂ©ment bien vu. 

Pourtant, l’importance grandissante de la fonction cybersĂ©curitĂ© et sa densitĂ© – les entreprises, quels qu’en soient la taille et le secteur, sont attaquĂ©es H24 partout dans le monde et plus personne ne peut de manière rĂ©aliste s’imaginer ĂŞtre Ă  l’abri dans sa tour d’ivoire â€“ ont aussi entraĂ®nĂ© une prise en compte grandissante de ce sujet. Tant mieux.

Un modèle international de mesure du stress

Comme il y a trois ans, le Club des experts de la sĂ©curitĂ© de l’information et du numĂ©rique (Cesin) s’est penchĂ© sur le sujet avec Advens. Comme pour l’édition prĂ©cĂ©dente, l’étude s’appuie une Ă©chelle de rĂ©fĂ©rence, la PSS (Perceveid Stress Scale ou Ă©chelle de stress perçu).

Le PSS est un modèle de mesure reconnu internationalement qui permet de calculer de façon globale si une personne estime avoir la capacitĂ© ou non de faire face Ă  des moments difficiles Ă  vivre. Un seuil de 24 % marque l’apparition de la dĂ©pression, alors qu’à celui de 28 %, des symptĂ´mes de burn-out et une diminution des capacitĂ©s des fonctions cognitives commencent Ă  apparaĂ®tre.

Rappelons que le stress est un mĂ©canisme naturel destinĂ©, dans une situation inattendue et difficile, Ă  prĂ©parer un organisme Ă  survivre : augmentation de la pression artĂ©rielle, du rythme cardiaque (pour Ă©chapper plus vite au danger), acuitĂ© visuelle accrue, adrĂ©naline qui dĂ©cuple les capacitĂ©s… Mais si un stress positif engendre une rĂ©ponse d’adaptation de l’organisme, trop de stress (ou rĂ©pĂ©tĂ© de manière trop intense, sans y ĂŞtre prĂ©parĂ©) le paralyse.

Or, l’intensité des menaces et leur multiplicité sont susceptibles d’exposer les fonctions cyber à un stress élevé.

L’étude de 2024 a Ă©tĂ© conduite au courant de l’étĂ© 2024 auprès des membres du Cesin. 227 personnes ont rĂ©pondu. 63 % sont des responsables cyber. 30 % travaillent dans des entreprises de moins de 1 000 collaborateurs, 38,5 % dans des entreprises de 1 000 Ă  10 000 collaborateurs, et 31,5 % dans des entreprises de plus de 10 000 collaborateurs.

« 85 % des responsables vivent bien l’adrĂ©naline liĂ©e Ă  leur mĂ©tier Â»

Les chiffres, par rapport Ă  l’édition de 2021, sont plutĂ´t encourageants. 1 responsable cyber sur 2 (50 %) se dit stressĂ©, un chiffre en diminution de 10 points par rapport Ă  2021. 70 % apprĂ©cient les imprĂ©vus et les alĂ©as, et 79 % apprĂ©cient l’exercice pĂ©rilleux de l’équilibre entre les informations disponibles et l’exercice de la dĂ©cision. 85 % vivent bien l’adrĂ©naline liĂ©e Ă  leur mĂ©tier.

Mais l’adrĂ©naline, fort utile en cas de crise, est piĂ©geuse, car addictive. Si elle masque aussi les dangers d’une situation – et c’est d’ailleurs pour cela qu’elle est sĂ©crĂ©tĂ©e â€“, le risque (beaucoup de responsables cyber en sont conscients) est de se prendre pour ce que l’on n’est pas et de tomber de haut. Superman (ou Icare) n’est pas très loin…

Cette posture de sauveur peut parfois se muer en posture de hĂ©ros, souligne Jean-François Louapre, RSSI d’Agrial. « Un hĂ©ros dĂ©raisonnable qui pense ĂŞtre en mesure de sauver le monde, seul, toujours sur le pont, disponible, toute l’annĂ©e 7 jours sur 7. Ce n’est tout bonnement pas viable Â», dĂ©clare-t-il en marge de l’étude. Un rĂ©alisme et une humilitĂ© salutaires, finalement pratiquĂ©s par beaucoup de responsables cyber.

Ces chiffres cachent des rĂ©alitĂ©s très diverses, et surtout un malaise latent qui a encore du mal Ă  s’exprimer. Les responsables cyber affichent – en apparence â€“ une rĂ©sistance forte au stress, mais c’est en fait l’arbre qui cache la forĂŞt : si 49 % ressentent un stress faible (39 % dans l’édition de 2021), ils sont 24 % (28 % dans l’édition de 2021) Ă  ressentir un « stress Ă©levĂ© Â». Ce qui fait tout de mĂŞme une personne sur 4. Près de 7 % des rĂ©pondants dĂ©passent le score de 28 sur l’échelle PSS, induisant un risque de dĂ©pression clinique ou de burn-out.

« 28 % des responsables cyber ont parfois ressenti un sentiment de panique dans une situation de rĂ©ponse Ă  incident Â»

Les points saillants marquent quelques tendances prĂ©occupantes : 30 % des responsables cyber ont ressenti a plusieurs reprises (2 %) ou occasionnellement (28 %) un sentiment de panique ou de paralysie lors d’une rĂ©ponse Ă  incident.

Près de la moitiĂ© (46 %) des responsables cyber interrogĂ©s estiment avoir Ă©tĂ© « assez souvent Â» incapables de maĂ®triser (intĂ©rieurement et extĂ©rieurement) leur agacement au cours du dernier mois. Or, maĂ®triser ses Ă©motions en situation de stress est un des Ă©lĂ©ments qui permet de gĂ©rer la situation. 46 % ont senti « assez souvent Â» qu’ils ne maĂ®trisaient pas la situation, et 46 % ont senti qu’ils Ă©taient irritĂ©s parce que les Ă©vènements Ă©chappaient Ă  leur contrĂ´le. 

« L’incident provoque un stress particulier. Psychologiquement, c’est très dur, notamment l’étape oĂą il nous revient de dĂ©clarer que le SI est compromis Â».
Jérôme PoggiRSSI, ville de Marseille

En marge de l’étude, JĂ©rĂ´me Poggi, RSSI de la ville de Marseille, explique que « l’incident provoque un stress particulier. Psychologiquement, c’est très dur, notamment l’étape oĂą il nous revient de dĂ©clarer que le SI est compromis Â».

Ces chiffres traduisent effectivement un stress Ă©levĂ©, et la sensation d’une perte de contrĂ´le, qui â€“ dans le cadre d’une crise â€“ peuvent vite dĂ©gĂ©nĂ©rer en panique. 

D’ailleurs, 38 % des responsables cyber rĂŞvent occasionnellement ou rĂ©gulièrement (13 %) de cyberattaque ou de crises cyber : c’est dire Ă  quel point le risque d’une attaque cyber interfère dans leur vie quotidienne et leurs prĂ©occupations. Cela montre aussi sans doute le fort investissement des responsables cyber dans leur fonction ; mais ce chiffre peut se retrouver dans toutes les fonctions Ă  fort investissement personnel.

Enfin, le stress organisationnel et managérial est lui aussi non négligeable.

77 % des rĂ©pondants ressentent du stress lors d’un audit, Ă  l’idĂ©e d’être encore loin d’avoir fait ce qu’ils pensaient nĂ©cessaire pour atteindre le niveau de maturitĂ© souhaitĂ©. Et 73 % ressentent un dĂ©calage trop important entre « la capacitĂ© Ă  faire Â» et les attentes de l’organisation en matière de protection des donnĂ©es.

Un stress réel et important dans les fonctions cyber

« Des solutions existent Â» pour combattre et contenir ce stress, assure Mylène Jarossay, prĂ©sidente du Cesin.

Parmi lesquelles, Ă©videmment la prise en compte de la cyber en tant qu’enjeu stratĂ©gique de l’entreprise, la prĂ©paration en amont d’une crise cyber, mais surtout quelques idĂ©es simples Ă  creuser pour mieux gĂ©rer ce stress, comme celles d’un plan d’action particulier dĂ©diĂ© au stress (18 % l’ont envisagĂ©), ou d’une formation externe pour apprĂ©hender et gĂ©rer la charge mentale (13 % l’ont fait).

Plus loin, 8 % des sondĂ©s ont fait sortir d’un dispositif de crise une personne en situation de panique (contre 92 % qui ne l’ont pas fait…). Et 44 % ont mis en place un système d’astreinte partagĂ© Ă  plusieurs.

Ces chiffres montrent, plus qu’un stress grandissant, l’existence d’un stress réel et important dans ces fonctions de responsable cyber. Il faut admettre son existence, l’appréhender, afin de, sinon le combattre, du moins mieux l’accompagner, voire l’utiliser à bon escient dans des situations de crise. Une réalité sur le terrain, mais aussi une opportunité pour les cabinets de conseil en gestion de crise qui sauront travailler avec des psychologues.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)