Le Club des experts de la sécurité de l’information et du numérique (CESIN) et Advens ont réalisé une étude sur le stress des responsables de la cybersécurité (RSSI ou directeur de la cybersécurité, DSI dans les plus petites structures), en se basant sur un modèle de mesure reconnu du niveau de stress ressenti (Perceived Stress Scale – PSS). Sur l’échelle PSS, qui va de 0 à 40, le stress est jugé positif ou stimulant si le niveau est inférieur à 16 ; entre 16 et 24, apparaissent des sentiments d’impuissance occasionnels et des perturbations émotionnelles ; au-delà de 22, l’individu entre en « zone rouge », celle de risques accrus pour la santé physique et mentale et du sentiment de menace et d’impuissance.
Le niveau moyen constaté par l’étude, de 18,4, traduit un niveau global de stress élevé. 39 % des personnes interrogées (130 individus) se situent dans la zone verte, 33 % dans la zone orange et 28 % dans la zone rouge – soit 61 % qui souffrent d’un stress aux effets négatifs. Sur les 92 personnes en zone rouge, 62 risquent le burn-out et 22, dont le score est supérieur à 28, frôlent la dépression clinique.
82 % des répondants considèrent qu’ils travaillent dans un contexte d’adversité, face à des ennemis souvent invisibles. Un peu plus de la moitié est sur le qui-vive en permanence, près d’un quart ne se fait pas aux aléas et imprévus du métier. 28 % d’entre eux se sentent découragés devant la fréquence et la puissance croissantes des cyberattaques. 38 % déclarent que leur métier souffre « encore » d’un a priori plutôt négatif, 47 % se disant incompris – on jugerait leurs exigences excessives. 54 % estiment qu’une crise majeure pourrait leur coûter leur poste – ils sont 65 % en zone rouge.
Un risque sanitaire à prendre en charge
Pour la présidente du CESIN, Mylène Jarossay, « cette étude confirme qu’il était urgent de se pencher sur la charge mentale des professionnels de la cybersécurité, afin d’identifier des pistes pour prendre soin de ceux qui assurent, chaque jour, un travail de défense complexe et exigeant. L’ambition est que les responsables de la cybersécurité se sentent pleinement en accord avec les valeurs et les spécificités de ce métier singulier. » Pour répondre à ce défi, plusieurs pistes existent, qui visent à modifier les causes de stress ou à en atténuer les conséquences. Elles s’inscrivent dans l’adhésion à des communautés telles que le CESIN, à la participation à des ateliers de « résilience face au stress », à des séminaires ad hoc ou à la réalisation de portraits plus complets encore des professionnels de la cybersécurité, aux parcours différents, pour mieux comprendre le mécanisme du stress dans leur métier. À cet effet, le CESIN doit mettre en place un baromètre annuel, pour suivre l’évolution du stress au sein de la filière.
Le traitement du stress est aussi le fait de l’employeur. Il commence dès la rédaction de la fiche de poste, doit être pris en compte dans le parcours de formation et s’appuyer sur des échanges avec les autres métiers de l’entreprise, pour une meilleure connaissance et compréhension du métier – ce qui, au passage, ne peut qu’améliorer la sensibilisation aux risques cyber et le niveau collectif de préparation aux attaques informatiques. Le monde académique doit également jouer son rôle, en identifiant et en prenant en compte les aspects liés au stress dans l’éducation des professionnels, qu'ils soient en exercice ou en passe de l'être.
L’intégralité de l’étude est à lire gratuitement en ligne ou à télécharger à l’adresse suivante : https://www.advens.fr/sites/default/files/public/publications/files/advenscesin-etudecyberstress-septembre2021_0.pdf.
