:strip_exif()/reboot/media/922d4f6c-414f-11e8-99a1-fa163e14ea56/8f2c3134-414f-11e8-8c61-fa163e14ea56/0-0-capcreane.png "Stress et RPS dans le secteur de la cybersécurité")
:strip_exif()/reboot/media/922d4f6c-414f-11e8-99a1-fa163e14ea56/8f2c3134-414f-11e8-8c61-fa163e14ea56/0-0-capcreane.png "Stress et RPS dans le secteur de la cybersécurité")
Existe‑t-il une fatigue professionnelle propre au secteur de la cybersécurité ?
:strip_exif()/reboot/media/922d4f6c-414f-11e8-99a1-fa163e14ea56/56264ecc-5f78-11e9-867b-2abe188c0ad2/0-0-nuage-de-mots-cybersecurite.png)
« Existe‑t-il une fatigue professionnelle propre au secteur de la cybersécurité ? »
Pour répondre à cette question, nous avons tout simplement exploré le métier au travers d’articles de presse récents dédiés aux Responsables de la Sécurité des Systèmes d'Information « RSSI », et donc avec les yeux de Candide.
Ce « diagnostic », s’est ensuite enrichi au cours de nombreux échanges lors d’un dîner débat organisé par l’ISSA France, qui est une association qui réunit les experts et professionnels de la Cybersécurité.
Nous vous présentons donc une synthèse de nos travaux préparatoires et des échanges lors du dîner débat.
Les caractéristiques du métier de la cybersécurité
- Des missions à très forts enjeux. Le secteur est passé en quelques années de la protection des données, à la protection du patrimoine incorporel de l’entreprise qui ne cesse de s’étendre avec le développement de l’I.A. (intelligence artificielle) : La réputation, voir d’existence même de l’entreprise est en jeu.
- Des équipes qui grandissent et des projets qui se multiplient à l’envie.
- Un « sociogramme » qui ne cesse de s’élargir de l’interne au périmètre client : la protection des données intégrées aux produits est une vraie valeur commerciale quand la confiance dans le numérique est au cœur du business.
- Un quotidien digne d’un roman policier, agrémentée d’un vocabulaire angoissant : la traque du «criminel» est permanente, la « cyberattaque » peut venir de nulle part et surtout des collaborateurs eux‑mêmes. « Un clic et c’est la catastrophe » pouvait‑on lire dans les pages des Echos de janvier.
- Des Directions générales qui - contraintes par la peur - investissent à minima dans la course aux voleurs, dans un réflexe reptilien de protection face au danger, mais qui – aux dires des RSSI eux‑mêmes - ne sont pas dans une logique de prévention, de R&D soutenue pour avoir « un coup d’avance ».
- Des compétences rares et qui n’attirent pas les talents : qui voudraient travailler dans cet univers de fous ! « Sur 50 étudiants, 3 seulement souhaitent s’orienter dans cette voie » disait un enseignant.
Il n’est pas besoin d’aller plus loin pour imaginer la pression, et les frustrations que peuvent subir les membres de cette profession.
Sur l’ensemble des facteurs de stress les plus connus, ils cumulent, entre autres :
- La pression cognitive,
- Le manque de moyens face à une menace grandissante,
- Un manque de compréhension des vrais enjeux par leur hiérarchie avec qui ils peuvent d’ailleurs être en conflit d’intérêt,
- Un sentiment d’urgence constant lié à un « interdit » à la déconnection,
- Le management d'équipes en sous effectifs aux attentes importantes, souvent jeunes et donc volatiles.
Il est donc grand temps de se pencher sur leur cas.
Plusieurs pistes ont été explorées au cours des échanges, dont une qui nous parait primordiale : revoir en profondeur la définition même du métier.
Au‑delà des compétences techniques rappelées par l’Agence Nationale de Sécurité des Systèmes d’Information, c’est tout un écosystème qu’il convient de redéfinir autour de la fonction dans l’entreprise :
- Comment intégrer la cybersécurité dans la culture profonde de l’entreprise, plutôt que comme un problème technique à éviter ?
- Quel rôle et quelle responsabilité effective du RSSI et de son équipe ?
- Par suite, quel positionnement dans l’organisation : à l’instar des directions de l’audit ou du management des risques, ne faut‑il pas que la fonction soit placée en relation directe avec la DG plutôt que fondue au sein de la DSI ? Cette nouvelle légitimité lui ferait gagner en autonomie pour définir une véritable stratégie, dynamique plutôt que réactive.
- Comment redonner du sens et de l’élan pour attirer les talents vers ce métier de la cybersécurité ?
- Quelles compétences pour le RSSI ? doit‑il être un expert ou un manager leader, ou les deux ?
- Quelles conditions de travail pour faire baisser une pression inutile.
Car ici comme ailleurs, il n’y a pas de bon stress !
Voilà un chantier bien enthousiasment, qui appelle tous les acteurs autour de la table : entreprises, ANSSI, et bien sur l’ISSA France qui a eu l’excellente idée de soulever cette importante question. !
Présentation d’ISSA France
L'ISSA France est une association loi 1901, créée en 2010. Elle anime les #SecurityTuesday, afterworks traitant de sujets de cybersécurité et/ou de sujets périphériques, avec l'obsession de les ouvrir toujours au plus grand nombre. Autre challenge pour l'association : Réaliser aussi souvent que possible des campagnes de découverte à la cybersécurité pour le grand public. Dernièrement et rencontrant un franc succès, l'ISSA France a publié un cahier de vacances aussi utile aux enfants qu'aux parents pour découvrir le cyberespace et ses dangers.