Les cyberattaques explosent et mettent sous pression les RSSI, ces responsables de la sécurité informatique en entreprise. Manque de budget, difficulté à embaucher, solitude… Près de la moitié de la profession envisage de changer d’emploi d’ici à 2025.
Par Leïla Marchand ; Publié le 11 avr. 2023 à 10:30
Phishing, exploitation d’une faille, arnaque au président… Plus les cyberattaques se multiplient (avec près d’une entreprise française sur deux affectée en 2022 ), plus les responsables de la sécurité des systèmes d’information (RSSI) sentent la pression s’alourdir sur leurs épaules.
« On fait un des rares métiers du civil où on lutte contre des risques d’origine malveillante. Des risques qui peuvent potentiellement mettre à l’arrêt toute l’entreprise », raconte Jean-François Louapre, consultant en cybersécurité et « RSSI en transition ». Invité à partager son expérience lors d’une table ronde au Forum international de la cybersécurité (FIC), qui se tenait la semaine dernière à Lille, ce dernier ne cache pas avoir « fait un burn-out » il y a quelques années. Et il est loin d’être le seul.
Cybersécurité : des outils pour prévenir et guérir
Cybersécurité : les entreprises de services numériques soumises à de nouvelles obligations
Environ 60 % des responsables de la cybersécurité disent éprouver un « stress élevé » au quotidien, voire un stress « avec risque d’épuisement au travail » pour 28 % d’entre eux, selon une enquête publiée en 2021 par le CESIN, l’association représentant la profession. Souvent d’astreinte 24 heures sur 24, la plupart vivent dans la crainte de rater « ce signal faible qui serait le signe d’un véritable incident » et ne quittent jamais cette posture de « gardien du temple », note Stefan Thibault, directeur cybersécurité chez PwC.
Pire, lorsque l’attaque finit par arriver, ils « le prennent personnellement » et savent qu’ils peuvent « servir de fusible », pointe Delphine Chevallier, présidente de l’Association de soutien aux victimes de cyberattaques. « Généralement, les entreprises ne sont pas organisées pour gérer une telle crise et, par exemple, organiser une rotation du personnel pendant les semaines où les systèmes informatiques se retrouvent bloqués », regrette Stefan Thibault.
« Le RSSI ne peut pas être le gilet pare-balles de l’entreprise »
Résultat, près de la moitié des responsables de la sécurité devraient changer d’emploi d’ici à 2025, dont 25 % pour des rôles complètement différents, en raison des facteurs de stress, anticipe une récente analyse de Gartner. L’ancienneté moyenne d’un « CISO » (comme ils sont aussi appelés en anglais) n’est que de 26 mois, d’après un rapport de Nominet.
« Il faut les rendre plus résilients, leur apprendre à gérer leur stress, suggère Jeroen Schipper, CISO à la mairie de La Haye. Si vous pensez toute la nuit aux cybercriminels qui essaient d’entrer sur votre réseau, vous faites le mauvais métier », tranche-t-il. Les ressources humaines ont aussi leur rôle à jouer, par exemple en sachant mettre en retrait le responsable lorsqu’il se retrouve dans une période de fragilité personnelle.
Mais cette stratégie a ses limites. « Le RSSI ne peut pas être le gilet pare-balles de l’entreprise », se désole Benjamin Leroux, directeur marketing chez Advens et ex-RSSI. Car, comme souvent, ces risques psychosociaux ne sont que le symptôme d’un dysfonctionnement global. En l’occurrence, le responsable de la sécurité doit atteindre des objectifs élevés avec un budget restreint.
« Avec l’argent prévu dans les budgets, les entreprises françaises ne peuvent assurer que 50 % du travail par rapport aux standards internationaux requis », indique Gérôme Billois, associé chez Wavestone et spécialiste du sujet. Cyniquement, certains RSSI se mettent à espérer une crise « pour montrer à quoi ils servent et négocier du budget ». De 6 %, le budget cyber passe environ à 15 % du budget de l’entreprise l’année après une attaque.
Les RSSI se démènent souvent seuls. « On aura une personne pour 1.200 employés dans les grandes entreprises. Et dans les plus petites, il n’y a souvent personne. Seulement quelqu’un chargé de l’informatique », ajoute l’expert. La pénurie de talents dans le secteur de la tech n’arrange rien. « Il manque environ 15.000 personnes dans le numérique en France », rappelle Paul Pastor, délégué cybersécurité à Numeum, syndicat professionnel de l’industrie numérique, dont le cheval de bataille est notamment la féminisation du métier. « La profession a du mal à faire rêver. Ce qui excite les jeunes, c’est de jouer au hacker, de faire du test d’intrusion. Le côté défensif – la Blue Team – est plus frustrant », analyse Stefan Thibault.
Un travail de « reconnaissance en interne » est à mener
En interne non plus, le CISO ne fait pas rêver. « Comme on dit, un RSSI c’est facile à reconnaître, c’est celui qui mange tout seul à la cantine… », plaisante à moitié Benjamin Leroux. Encore vu comme un « empêcheur de tourner en rond » qui « parle un langage informatique étrange » et « empêche d’aller sur TikTok », le responsable de la sécurité est parfois aussi un caillou dans la chaussure du dirigeant, a remarqué Clara Le Gros, RSSI chez Natixis : « Dans une entreprise avec des objectifs financiers, nos demandes ne paraissent pas forcément la priorité. »
Un travail de « reconnaissance en interne » est à mener par les entreprises. « Il ne peut pas porter le risque à lui tout seul. Il faudrait qu’il soit juste en dessous du CEO et que ses mesures ne soient pas discutables », conviennent les participants de la table ronde. Une promotion qui s’assortirait d’une revalorisation salariale, à même d’attirer de nouveaux talents ? En France, d’après Gérôme Billois, la rémunération annuelle tourne autour de 70.000 à 200.000 euros, contre 800.000 euros environ dans le monde anglo-saxon pour les postes les plus en vue.
Leïla Marchand
https://www.lesechos.fr/tech-medias/hightech/cybersecurite-une-profession-au-bord-du-burn-out-1933733
POUR ETRE AUTOMATIQUEMENT AVERTI A CHAQUE NOUVEL ARTICLE PUBLIÉ SUR LE BLOG, inscrivez vous à la NEWSLETTER, y compris pour les membres du forum. L’ESPACE INSCRIPTION est sur page d’accueil en haut de la colonne de droite, juste sous le price-ticker de l’action (sur la version PC du blog). Vous pourrez vous désinscrire à tout moment.