Le Cesin vient de publier, avec Advens, sa seconde étude sur le stress des responsables de la cybersécurité. Un sujet relativement jeune, mais bénéficiant d’un intérêt grandissant, traduisant un besoin d’appréhender objectivement la pression associée à la fonction.
Historiquement, des termes tels que « charge mentale », « crise d’angoisse », « burn out », « facteur de stress » ou « dépression » n’ont été que rarement associés au vocable des responsables de la sécurité informatique.
Le fait, peut-être, de fonctions où règne parfois une méconnaissance, voire un mépris de ces questions : le fameux « marche ou c.... » a eu la vie dure dans un milieu encore très masculin où parler de ses états d’âme et de ses craintes n’est pas forcément bien vu.
Pourtant, l’importance grandissante de la fonction cybersécurité et sa densité – les entreprises, quels qu’en soient la taille et le secteur, sont attaquées H24 partout dans le monde et plus personne ne peut de manière réaliste s’imaginer être à l’abri dans sa tour d’ivoire – ont aussi entraîné une prise en compte grandissante de ce sujet. Tant mieux.
Un modèle international de mesure du stress
Comme il y a trois ans, le Club des experts de la sécurité de l’information et du numérique (Cesin) s’est penché sur le sujet avec Advens. Comme pour l’édition précédente, l’étude s’appuie une échelle de référence, la PSS (Perceveid Stress Scale ou échelle de stress perçu).
Le PSS est un modèle de mesure reconnu internationalement qui permet de calculer de façon globale si une personne estime avoir la capacité ou non de faire face à des moments difficiles à vivre. Un seuil de 24 % marque l’apparition de la dépression, alors qu’à celui de 28 %, des symptômes de burn-out et une diminution des capacités des fonctions cognitives commencent à apparaître.
Rappelons que le stress est un mécanisme naturel destiné, dans une situation inattendue et difficile, à préparer un organisme à survivre : augmentation de la pression artérielle, du rythme cardiaque (pour échapper plus vite au danger), acuité visuelle accrue, adrénaline qui décuple les capacités… Mais si un stress positif engendre une réponse d’adaptation de l’organisme, trop de stress (ou répété de manière trop intense, sans y être préparé) le paralyse.
Or, l’intensité des menaces et leur multiplicité sont susceptibles d’exposer les fonctions cyber à un stress élevé.
L’étude de 2024 a été conduite au courant de l’été 2024 auprès des membres du Cesin. 227 personnes ont répondu. 63 % sont des responsables cyber. 30 % travaillent dans des entreprises de moins de 1 000 collaborateurs, 38,5 % dans des entreprises de 1 000 à 10 000 collaborateurs, et 31,5 % dans des entreprises de plus de 10 000 collaborateurs.
« 85 % des responsables vivent bien l’adrénaline liée à leur métier »
Les chiffres, par rapport à l’édition de 2021, sont plutôt encourageants. 1 responsable cyber sur 2 (50 %) se dit stressé, un chiffre en diminution de 10 points par rapport à 2021. 70 % apprécient les imprévus et les aléas, et 79 % apprécient l’exercice périlleux de l’équilibre entre les informations disponibles et l’exercice de la décision. 85 % vivent bien l’adrénaline liée à leur métier.
Mais l’adrénaline, fort utile en cas de crise, est piégeuse, car addictive. Si elle masque aussi les dangers d’une situation – et c’est d’ailleurs pour cela qu’elle est sécrétée –, le risque (beaucoup de responsables cyber en sont conscients) est de se prendre pour ce que l’on n’est pas et de tomber de haut. Superman (ou Icare) n’est pas très loin…
Cette posture de sauveur peut parfois se muer en posture de héros, souligne Jean-François Louapre, RSSI d’Agrial. « Un héros déraisonnable qui pense être en mesure de sauver le monde, seul, toujours sur le pont, disponible, toute l’année 7 jours sur 7. Ce n’est tout bonnement pas viable », déclare-t-il en marge de l’étude. Un réalisme et une humilité salutaires, finalement pratiqués par beaucoup de responsables cyber.
Ces chiffres cachent des réalités très diverses, et surtout un malaise latent qui a encore du mal à s’exprimer. Les responsables cyber affichent – en apparence – une résistance forte au stress, mais c’est en fait l’arbre qui cache la forêt : si 49 % ressentent un stress faible (39 % dans l’édition de 2021), ils sont 24 % (28 % dans l’édition de 2021) à ressentir un « stress élevé ». Ce qui fait tout de même une personne sur 4. Près de 7 % des répondants dépassent le score de 28 sur l’échelle PSS, induisant un risque de dépression clinique ou de burn-out.
« 28 % des responsables cyber ont parfois ressenti un sentiment de panique dans une situation de réponse à incident »
Les points saillants marquent quelques tendances préoccupantes : 30 % des responsables cyber ont ressenti a plusieurs reprises (2 %) ou occasionnellement (28 %) un sentiment de panique ou de paralysie lors d’une réponse à incident.
Près de la moitié (46 %) des responsables cyber interrogés estiment avoir été « assez souvent » incapables de maîtriser (intérieurement et extérieurement) leur agacement au cours du dernier mois. Or, maîtriser ses émotions en situation de stress est un des éléments qui permet de gérer la situation. 46 % ont senti « assez souvent » qu’ils ne maîtrisaient pas la situation, et 46 % ont senti qu’ils étaient irrités parce que les évènements échappaient à leur contrôle.
« L’incident provoque un stress particulier. Psychologiquement, c’est très dur, notamment l’étape où il nous revient de déclarer que le SI est compromis ».
Jérôme PoggiRSSI, ville de Marseille
En marge de l’étude, Jérôme Poggi, RSSI de la ville de Marseille, explique que « l’incident provoque un stress particulier. Psychologiquement, c’est très dur, notamment l’étape où il nous revient de déclarer que le SI est compromis ».
Ces chiffres traduisent effectivement un stress élevé, et la sensation d’une perte de contrôle, qui – dans le cadre d’une crise – peuvent vite dégénérer en panique.
D’ailleurs, 38 % des responsables cyber rêvent occasionnellement ou régulièrement (13 %) de cyberattaque ou de crises cyber : c’est dire à quel point le risque d’une attaque cyber interfère dans leur vie quotidienne et leurs préoccupations. Cela montre aussi sans doute le fort investissement des responsables cyber dans leur fonction ; mais ce chiffre peut se retrouver dans toutes les fonctions à fort investissement personnel.
Enfin, le stress organisationnel et managérial est lui aussi non négligeable.
77 % des répondants ressentent du stress lors d’un audit, à l’idée d’être encore loin d’avoir fait ce qu’ils pensaient nécessaire pour atteindre le niveau de maturité souhaité. Et 73 % ressentent un décalage trop important entre « la capacité à faire » et les attentes de l’organisation en matière de protection des données.
Un stress réel et important dans les fonctions cyber
« Des solutions existent » pour combattre et contenir ce stress, assure Mylène Jarossay, présidente du Cesin.
Parmi lesquelles, évidemment la prise en compte de la cyber en tant qu’enjeu stratégique de l’entreprise, la préparation en amont d’une crise cyber, mais surtout quelques idées simples à creuser pour mieux gérer ce stress, comme celles d’un plan d’action particulier dédié au stress (18 % l’ont envisagé), ou d’une formation externe pour appréhender et gérer la charge mentale (13 % l’ont fait).
Plus loin, 8 % des sondés ont fait sortir d’un dispositif de crise une personne en situation de panique (contre 92 % qui ne l’ont pas fait…). Et 44 % ont mis en place un système d’astreinte partagé à plusieurs.
Ces chiffres montrent, plus qu’un stress grandissant, l’existence d’un stress réel et important dans ces fonctions de responsable cyber. Il faut admettre son existence, l’appréhender, afin de, sinon le combattre, du moins mieux l’accompagner, voire l’utiliser à bon escient dans des situations de crise. Une réalité sur le terrain, mais aussi une opportunité pour les cabinets de conseil en gestion de crise qui sauront travailler avec des psychologues.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
