Enjeux RH

Cybermenaces et pandémie conduisent les RSSI au burn-out

Avec la multiplication des incidents de sécurité liés aux cybermenaces toujours plus nombreuses et intenses couplée à une situation pandémique inédite désorganisant les entreprises, les responsables de la sécurité des systèmes d’information (RSSI) sont nombreux à être au bout du rouleau. Une situation qui n’est pas sans engendrer des risques pour les entreprises. (Photo Pixabay/G.Altmann)

« Je ne veux plus jamais jouer un rôle opérationnel ». Tel a été le message envoyé par un RSSI à Jeff Polard, vice-président et analyste principal chez Forrester Research, en décembre dernier. les équipes sécurité du responsable se démenaient alors pour faire face à la dernière menace qui faisait la une des journaux, Log4j. « C’est un RSSI avec de l’expérience mais il s’est dit : « c’est reparti », raconte Jeff Polard. Comme s’il s’agissait de produire un effort herculéen pour lui et son équipe. Pour lui, c’était un peu comme dire « cette fois j’arrête » ».

La plupart des employés ont déjà éprouvé ce sentiment à un moment ou à un autre. Des études révèlent que de nombreuses personnes se sentent dépassées et épuisées par la pandémie et toutes les perturbations associées. Le rapport Lost Hours de l’éditeur en sécurité Tessian a interrogé 300 RSSI basés aux États-Unis et au Royaume-Uni. Le constat est sans appel : ils travaillaient, en moyenne, 11 heures de plus chaque semaine que ce que leur contrat prévoit. Pour 10 % des répondant, on parle même de 20 à 24 heures de plus par semaine. L’étude a en outre révélé que 42 % ont manqué des vacances à Thanksgiving ou à Noël, 40 % de congés en famille. 59 % déclarent avoir du mal à se déconnecter du travail une fois la journée terminée en raison du stress. Et le sujet est loin de ne concerner que les RSSI outre-Atlantique. Une récente étude du Cesin montre que les RSSI français ne sont pas épargnés.

Un épuisement professionnel problématique

« L’épuisement professionnel des RSSI est définitivement un problème. C’est un souci encore plus important aujourd’hui que par le passé, car nous traversons une période sans précédent avec des pénuries de personnel, des gens en télétravail et l’augmentation des menaces non seulement au niveau national mais international. Tout cela est associé au fait que le paysage de la sécurité se développe à un rythme exponentiel, insiste Thomas Johnson, RSSI chez Deft, fournisseur de conseil et de services informatiques. Il est difficile pour eux de se tenir au courant de toutes les technologies et de tous les produits, de comprendre toutes les menaces, de rendre compte des mesures à la direction générale et au conseil d’administration. Le tout en essayant de maintenir un niveau de santé mentale et comprendre que votre plan ne sera jamais parfait et qu’il y aura toujours des portes qui ne seront jamais complètement fermées ».

A n’en pas douter, il devrait y avoir une répercussion personnelle pour les employés (y compris les RSSI) ayant atteint ce point de fatigue professionnelle. Il devient donc opportun et juste de se soucier du bien-être d’autrui. Il y a aussi des raisons organisationnelles – voire aussi personnelles – qui sont également préoccupantes, car tout employé éreinté ne peut plus apporter sa contribution.  Comme le demande Josh Yavor, le RSSI de Tessian : « Si les RSSI connaissent ce niveau d’épuisement professionnel, quel est l’impact sur leurs entreprises et sur les autres personnes avec lesquelles ils travaillent ? ». Et d’ajouter : « Ce n’est pas un appel à compatir sur les RSSI, mais à mettre en perspective les risques de mettre en place des politiques de sécurité dans un climat de fatigue généralisée ».

Des conséquences néfastes

L’épuisement professionnel des RSSI peut avoir un impact sur les organisations de plusieurs manières, déclare quant à lui Ed Bellis, co-fondateur et CTO de Kenna Security, une société rachetée par Cisco en 2021, et auteur d’un article de 2020 J’ai été RSSI pendant 6 ans – Voilà pourquoi mon burnout est un tel problème. « Les RSSI ne sont pas des pleurnicheurs mais il y a beaucoup de gens qui souffrent de fatigue générale y compris des personnes qui sont au front, et cela fait partie du problème, mais ce qui est différent pour les RSSI, c’est l’impact de cet épuisement », déclare Ed Bellis. Parmi les conséquences, on peut citer un départ précoce de la fonction et une capacité réduite à diriger sa propre équipe. Sans parler de l’impact personnel du RSSI.