56 % des professionnels de la cybersécurité en France sont victimes d’épuisement professionnel en raison de la pression élevée et du manque de personnel
octobre 2024 par SoSafe
56 % des professionnels de la sécurité en France sont victimes d’épuisement professionnel (burnout), dont 24 % à un niveau élevé et 32 % à un niveau modéré.
Cette situation représente une véritable aubaine pour les criminels : en effet, 84 % des personnes interrogées déclarent que l’informatique et la sécurité sont les départements les plus susceptibles d’être ciblés au sein de leur entreprise, loin devant la finance (27 %) ou les ventes (17 %).
Ces chiffres sont tirés de l’Analyse du risque humain 2024 de SoSafe sur le paysage actuel des cybermenaces et la culture de la sécurité au sein des entreprises. Ce rapport s’appuie sur les réponses de plus de 1 250 responsables de la sécurité en Europe, ainsi que sur 3,2 millions de points de données provenant de la plateforme de sensibilisation et de gestion des risques humains de SoSafe.
Comprendre les principaux facteurs d’épuisement professionnel dans la cybersécurité
Alors que le monde de la cybersécurité connaît une évolution fulgurante, l’épuisement professionnel devient de plus en plus fréquent dans cette branche d’activité. Parmi les principaux facteurs à l’origine de cette tendance figurent la forte pression de l’environnement, citée par 34 % des personnes concernées, ainsi que les longues journées de travail ou les nombreuses heures supplémentaires, signalées par 20 % d’entre elles. En outre, 31 % évoquent des charges de travail excessives, tandis que 31 % se disent constamment en train de parer au plus pressé. Ces facteurs de stress sont encore intensifiés par l’augmentation des risques liée, notamment, à l’avènement de nouvelles technologies comme l’IA générative, qui inquiètent 77 % des professionnels de la sécurité ; à l’instabilité mondiale qui, selon 78 % des personnes interrogées, contribue à augmenter les risques ; et aux préoccupations croissantes que cause la sécurité de la chaîne d’approvisionnement, soulignée par 84 % des responsables.
En outre, 24 % des personnes concernées considèrent le manque de personnel comme un facteur de stress important, exacerbé par la pénurie de professionnels qui touche l’ensemble du secteur : selon l’étude 2023 Workforce Study de l’ISC2, le secteur de la cybersécurité est confronté à une pénurie sans précédent, avec environ 274 000 postes non pourvus dans la seule Union européenne. Au niveau mondial, environ 3,9 millions de postes restent vacants dans le domaine de la cybersécurité, et il faudrait 29 % de travailleurs supplémentaires pour combler ce déficit.
Andrew Rose, responsable de la sécurité chez SoSafe, a lui-même été touché par l’épuisement professionnel, il y a plusieurs années, et se souvient encore d’une période particulièrement stressante : « Je me suis senti peu à peu gagné par le burn-out, épuisé par la pression constante de devoir en faire toujours plus, réduire les coûts et ne jamais échouer. Je pensais que ce stress faisait tout simplement partie de mon travail de cadre jusqu’à ce que je commence à ressentir des symptômes sur le plan cognitif, émotionnel et physique. Lorsque j’ai fini par en parler, la réponse de mon supérieur a été décevante. N’obtenant pas de soutien, j’ai pris la décision difficile de démissionner. Tout le monde n’a pas cette possibilité, et c’est pourquoi il est essentiel de reconnaître les signes du surmenage à temps, d’en parler et de chercher de l’aide. En tant que dirigeants, coéquipiers et partenaires, nous devons favoriser des environnements de travail où le stress est traité de manière proactive, et non ignoré. »
Lutter contre l’épuisement professionnel grâce à des pratiques de sécurité plus intelligentes
L’épuisement professionnel affecte non seulement la santé mentale et physique des collaborateurs, mais représente également un risque important pour les entreprises : le stress et le burn-out sont souvent responsables d’erreurs ou de négligences. 83 % des professionnels de la sécurité informatique reconnaissent que l’épuisement professionnel a été la cause d’erreurs au sein de leur service, entraînant des failles de sécurité.
« Compte tenu des défis auxquels les équipes de sécurité sont confrontées, il est essentiel d’adopter des solutions qui non seulement automatisent efficacement leurs tâches, mais garantissent également une réduction durable des risques, a déclaré le Dr Niklas Hellemann, psychologue et PDG de SoSafe. Pour y parvenir, les entreprises doivent impliquer activement leurs employés dans leur cybersécurité. Ce sont eux le paramètre le plus polyvalent de leur stratégie. L’accent doit être mis sur l’évolution des comportements plutôt que sur la simple transmission de connaissances, car c’est la clé de la création d’une culture de cybersécurité résiliente. »
Les entreprises sont de plus en plus conscientes de l’importance de ces mesures : 92 % des responsables de la sécurité soulignent ainsi la nécessité d’instaurer une solide culture de la sécurité. Presque toutes les sociétés (98 %) assurent que les cadres supérieurs et les membres du conseil d’administration participent activement à la gouvernance et à la prise de décision en matière de cybersécurité. En outre, trois entreprises sur cinq (59%) ont augmenté le budget affecté à ce domaine au cours des deux dernières années. Cependant, les données alarmantes sur l’épuisement professionnel soulignent que si les progrès réalisés sont indéniables - en termes de soutien de la direction et d’affectation de fonds que les RSSI réclament depuis des années - il reste un long chemin à parcourir pour répondre pleinement aux pressions et aux défis auxquels sont confrontés les professionnels de la sécurité.