Encore trop de mauvais stress chez les responsables cybersécurité
Dans une entreprise, il peut y avoir un Responsable de la sécurité des systèmes d'information. Un métier captivant mais stressant. Ce trop-plein de stress peut conduire parfois au burn-out. C’est ce qu’a vécu Jean-François Louâpre, en 2017, en tant que responsable cyber d’un grand groupe.
Aujourd’hui, avec le recul, il estime que les raisons qui l’ont conduit à cet état d’épuisement professionnel étaient un fort sentiment d’impuissance lié à une double adversité. D'un côté, être en alerte permanente contre une menace invisible capable de bloquer l’activité de l’entreprise mais impossible à maîtriser. Et de l’autre, des difficultés en interne à faire comprendre l’importance du sujet et à obtenir un peu de budget. Le tout en étant joignable 24h sur 24. "Il y a dix ans, raconte-t-il, quand tout se passait bien, votre patron se demandait ce que vous faisiez. Quand ça se passait mal, ce que vous aviez fait." Aujourd’hui, les choses ont un peu évolué car les cyberattaques sont très médiatisées et le métier est mieux connu et reconnu.
Une épée de Damoclès
Mais le stress est toujours là. Si l’immense majorité des responsables cyber aiment la montée d’adrénaline, la moitié d’entre eux ressent du stress, dont un quart un stress élevé et potentiellement délétère. C’est ce que montre la nouvelle étude du CESIN, le club qui réunit les experts de la sécurité informatique. Selon sa présidente, Mylène Jarossay, ce résultat n’est pas satisfaisant, même si les résultats se sont un peu améliorés depuis trois ans : "Le responsable cyber vit avec une épée de Damoclès, en livrant un combat asymétrique : il doit maintenir 10.000 portes fermées quand l’attaquant a besoin d’en ouvrir une seule pour gagner." Benjamin Leroux, de la société Advens qui a coréalisé l’étude, ajoute : "Il peut aussi développer le syndrome du super-héros, surtout quand l’employeur le prend pour un gilet pare-balles."
Quelles sont les pistes pour diminuer cette charge mentale ? Cela passe notamment par une meilleure définition du poste et des objectifs précis, affirment les auteurs de l’étude. Le responsable cyber est responsable de la protection du système, pas du danger en lui-même. "Il suffit d’ailleurs qu’un salarié clique au mauvais endroit pour que tout le château de cartes s’écroule." La diminution du stress passe aussi par la mise en place d’astreintes. Peu d’entreprises l’ont fait selon la présidente du Cesin. De nombreux responsables cyber restent joignables 365 jours par an, notamment dans les PME. Or, l'astreinte est vitale, dit-elle, pour relâcher la pression mentale.
Lancez la conversation
Connectez-vous à votre compte franceinfo pour commenter.