Cybersécurité : quand l’épuisement menace les RSSI

9 responsables de la sécurité informatique sur 10 déclarent travailler plus de quarante heures par semaine. Le niveau de stress est élevé.

Les équipes doivent faire face à l’extension du paysage des menaces et répondre aux injonctions parfois contradictoires du top management. Résultat, les responsables de la sécurité des systèmes d’information (RSSI, CISO en anglais) sont toujours sous pression.

C’est le principal enseignement de l’édition 2020 d’un rapport anglophone publié par Nominet, registre du .uk et éditeur de la plateforme de cybersécurité NTX.

95% des RSSI interrogés* ont déclaré travailler plus de quarante heures hebdomadaires. Un taux qui a progressé de 7 points en un an. En outre, les professionnels concernés consacreraient en moyenne dix heures de plus par semaine que la durée légale à leur travail.

Qu’en est-il de la situation perçue par la direction exécutive ?

Pour 47% des dirigeants et membres de conseil d’aministration qui ont aussi participé au sondage promu par Nominet, la cybersécurité est une préoccupation « majeure ». Ils sont même plus susceptibles que les RSSI de dire que les cybermenaces constituent un risque « élevé » ou « très élevé » pour leur entreprise (90%, contre 66%).

En revanche, ils sont peu enclin à valider une augmentation des montants investis pour faire face au risque cyber. Ainsi, 97% d’entre eux jugent que les équipes de sécurité IT « pourraient » faire davantage pour « apporter de la valeur » avec le budget dont ils disposent.

Autant d’éléments qui fatiguent de nombreux professionnels de la cybersécurité.

RSSI, un mandat de 2 ans en moyenne

88% des responsables de la sécurité concernés (contre 91% l’an dernier) se déclarent modérément ou très stressés. Or le stress peut impacter à la baisse leur capacité de travail (c’est le cas pour 31% des RSSI) et bouleverser les relations familiales (40%).

En outre, plus d’un tiers des responsables SSI ont déclaré souffrir de problèmes de santé – physique (35%) ou mentale (48%) – liés au stress au travail. Ils sont même 23% (contre 17% en 2019) à reconnaître consommer médicaments et/ou alcool et drogues pour tenir.

Il n’est pas suprenant, dans ce contexte, que la durée moyenne d’un mandat de RSSI soit relativement courte (26 mois, selon l’étude).

Pour Gary Foote, RSSI de Haas F1 Team, cité dans le rapport, « l’épuisement professionnel (burnout) n’aidera ni les RSSI, ni les conseils d’administration, pas plus que les entreprises » qui les emploient. Selon lui, « des changements sont nécessaires pour soutenir les équipes de sécurité informatique, techniquement, financièrement et sur le plan personnel. »

Aussi, 9 RSSI sur 10 disent qu’ils accepteraient une réduction de leur salaire de 7% en moyenne pour améliorer l’équilibre entre activité professionnelle et vie privée. Vraiment ?

*L’enquête a été menée durant l’automne 2019 par Vanson Bourne pour Nominet auprès de 800 RSSI et dirigeants de grandes entreprises au Royaume-Uni et aux États-Unis. (source : Nominet « CISO Stress – Life inside the perimeter: one year on »).

(crédit photo : Kevin Ku via Pexels)