Les risques psycho-sociaux en cybersécurité : attention, danger !

Un risque de burn-out réel

Cécilia Jourt-Pineau, fondatrice de Cy Mind, psychologue de formation et une des premières à avoir travaillé sur ce sujet, souligne : « ces risques sont réels… et importants ». Elle stigmatise des situations de « burn out », dont on ne tenait absolument pas compte avant, et qu’une récente étude que l’éditeur Sophos met en lumière. Menée au premier trimestre 2025, auprès de 5 000 professionnels IT/Cybersécurité dans 17 pays, ses chiffres sont franchement alarmants : 76 % des personnes interrogées ont déclaré avoir fait l’expérience d’une cyber-fatigue ou de burn-out de manière constante, fréquente ou occasionnelle au cours de l’année écoulée, dont 19 % de manière constante (près de 1 sur 5 !) et 27 % fréquemment. Presque une personne sur deux (46%) est exposée régulièrement à ce risque.

En outre, le problème s’aggrave : 69 % des personnes interrogées signalent que la fatigue et le burn-out liés à la cybersécurité ont augmenté entre 2023 et 2024. 

Il était donc urgent de (se) poser la question, d’étudier ce phénomène et les risques indus. C’est ce qu’a fait l'InterCERT, une association qui regroupe 120 CERTs publics ou privés et 1000 membres, et qui vient de publier une étude sur les risques psychosociaux, menée auprès de 234 répondants (dont 86 % d’hommes, 77 % ayant 35 ans ou plus, et 35 % plus de 10 années d’expérience). 

Un vrai risque… mal connu

Les grands risques psycho-sociaux identifiés tiennent à six familles de facteurs : les exigences émotionnelles, les séances de travail (durée), les conflits de valeur, les rapports sociaux et les relations au travail, l’autonomie et la marge de manœuvre, l'insécurité de la situation au travail.

Quatre grands risques psychosociaux ont été identifies dans cette étude : le stress (avec ses corollaires , axiété, stress post traumatique, stress chronique, burn-out, dépression), les violences internes (harcèlement moral ou sexuel, conflits exarcerbés), les violences externes (verbales ou physiques), et les conduites addictives d’adapatation (drogue, alcool, etc.).

Quatre grands thèmes sont abordés : le traitement des contenus, les facteurs de stress la prise en charge par l'employeur, et le cadre contractuel, très rarement – voire jamais – évoqué.

Il ressort dans les grandes tendances de cette étude que 30 % des répondants sont confrontés à des problèmes éthiques au moins une fois par mois, et 21 % de manière régulière.

55 % se disent confrontés à des contenus illicites. 65 % des répondants ont déjà été sollicites en dehors de leurs horaires de travail. Et dans les conséquences et les impacts de ce stress, un répondant sur deux a eu un collègue en arrêt de travail, un répondant sur deux a constaté du débordement émotionnel, un répondant sur trois a constaté des comportements inappropriés, et un sur quatre a constaté de la violence physique ou verbale.

David Quesada, l'un des rédacteurs de l’étude, lui-même Directeur Cybersecurité chez PwC et ancien cadre militaire, fait justement valoir : « on voulait, en lançant cette étude, confirmer une intuition. Celle que ce risque existe, et qu’il n’est que très rarement pris en compte. Notre but à InterCERT est aussi d’apporter des réponses et des solutions, nous y travaillons actuellement ».

« Le stress parfois intense des équipes en cas d’attaque, le "pétage de plomb", les violences physiques ou verbales, les SPT (stress post traumatique) dans des équipes pendant ou après une attaque cyber, ca existe, j’en ai vus », reprend-il : « dans le secteur militaire, d’où je viens, on étudie depuis longtemps le stress post traumatique et ses conséquences. Dans le secteur des métiers liés à l’urgence, on y vient. Mais dans la cyber…  On a des simulations avec des cellules de crise qui donnent des procédures, étudient la communication… mais peu se penchent sur un craquage en direct dans une équipe de crise. Et pourtant ! »

Un accompagnement médical ou pyschologique pour 2 % des répondants…

Cécilia Jourt-Pineau, familière de ces sujets, reprend : « lorsque l'on intervient dans des équipes sous stress intense, on commence par donner des recommandations de bon sens : dormir, manger, de façon à ne pas s’épuiser physiquement en plus de mentalement, et que le corps puisse tenir la charge et ne pas ajouter la fatigue au stress. De même, on conseille souvent de mettre en place un binôme, dès le départ. Envoyer en urgence, même au tout début, quelqu’un seul sur une crise, c’est n’importe quoi », s'insurge-t-elle.

Elle conseille aussi presque systématiquement la mise en place d’un  « sas de décompression » au sein des équipes, plus ou moins formel, où chacun peut « redescendre », faire baisser le niveau d’adrénaline et de stress, simplement en en parlant entre eux, et/ ou avec le manager concerné : « ça m’est arrivé de conseiller de mettre en "off" une heure ou deux une équipe sur-sollicitée, de façon à ce qu'elle puisse décompresser. Ce "sas" est rarement ménagé et il est pourtant essentiel. Voire mettre en place un accompagnement et/ou un suivi psychologique spécifique lorsque la situation ou une personne le demande », ajoute-t-elle .

Or, un chiffre de l'étude de l'InterCERT est sans appel : seuls 2 % des répondants à peine ont eu droit a un accompagnement médical ou psychologique…

Dans la même idée, David Quesada note que dans le secteur militaire, il existe parfois un « journal de constatation », sur un comportement, une situation : « le but n’est absolument pas de stigmatiser, mais de retracer et de savoir ce qui a été fait pour parer à une situation de stress intense. C’est bien dans une logique de Retex [retour d'expérience, N.D.L.R.] et de suivi à long terme des conséquences d’une crise que cette démarche s’inscrit », explique-t-il.

«  Au delà de la crise », note Cécilia Jourt-Pineau, « il y a les facteurs liés au métier en lui même, quotidiennement et qui ont des répercussions à sur le long terme. Les facteurs organisationnels, la porosité permanente vie personnelle/vie professionnelle, les injonctions qu’on finit par se créer de répondre aux sollicitations bien en dehors des heures de bureau, y compris au beau milieu de la nuit… » 

Ce qui peut être concevable dans une situation d’extrême urgence (constater et lancer une parade à une cyberattaque et très destructrice, les pirates attaquant rarement en semaine et aux heures de bureau...), ne l’est certainement pas tous les jours, et sur le long terme. Il y a aussi, dans le quotidien des équipes, ce qu’elle appelle « des injonctions paradoxales » : « répondre en urgence, donner le meilleur de soi même, mais en étant sous staffé et avec un budget qui ne suit pas. Devoir être autonome et faire du reporting, par exemple… »

David Quesada reprend : « les réponses existent, on ne part pas d’une feuille blanche. 80 % des répondants indiquent que les entreprises prennent en compte les risques psycho-sociaux… mais 72 % considèrent que les moyens mis en oeuvre sont insuffisants. Les réponses sont parcellaires et embryonnaires, parfois au cas par cas. Mettre en place un "sas" devrait faire partie des bonnes pratiques, de même que la possibilité d’avoir un accompagnement en cas de besoin. Si la personne impactée ne se sent pas en confiance avec le manager – dont ce n’est pas non plus le métier ! – certaines mutuelles le proposent ». 

Il reste aussi le cadre du contrat de travail et législatif. « J’ai déjà vu le cas de personnes que la notion d’astreinte, et ce qu’elle recouvrait – une disponibilité possible H24 – surprenait. Dans ces cas-là, c’est aux ressources humaines de l’avoir clairement explicité, y compris éventuellement sur le contrat de travail. Et, en termes d'horaires, le Code du Travail est clair : toute heure, toute journée travaillée en dehors des heures ouvrables doit être compensée sur le plan salarial et/ou compensée par des périodes de repos. Dans les grands corps de métier, les conventions collectives le prévoient. Dans la cybersécurité, c’est encore fluctuant selon les entreprises », explique David Quesada.

L’étude pointe que 50 % des répondants ignorent ce que prévoit leur contrat de travail, et 57 % ignorent si une protection juridique et professionnelle des responsables des CERT/ SOC existe. Enfin, seulement un répondant sur deux possède un cadre pour les déplacements et sollicitations en heures non ouvrables. Ce qui veut dire, en clair, que si un accident survient, pendant son trajet, à un personne déléguée en urgence sur une cyberattaque, on ne sait pas par quelle assurance elle est couverte...

« Cette étude a été faite pour souligner le problème, y sensibiliser, poser les bonnes questions. Elle ne donne pas vraiment de réponses. Mais elle montre que le sujet est réel, et qu’il faut s’en occuper », conclut David Quesada.