Le club des experts de la sécurité de l'information et du numérique (Cesin) et Advens présentent les résultats de leur seconde enquête sur le stress des responsables de la cybersécurité en France. Les données de l’étude 2024 réalisée trois ans après la première mettent en avant une perception du stress ressenti plus faible. En effet, elles montrent une diminution de 10 points des RSSI stressés, soit 50 % en 2024 contre 60 % en 2021. Par ailleurs, la part des responsables de la sécurité IT qui pensent souvent ou assez souvent ne pas pouvoir assumer toutes les tâches qu’ils doivent faire a reculé de 13 points, passant de 40% à 27% aujourd’hui.

Bien que 77 % des RSSI ressentent du stress lors d’un audit, ce métier est vécu avec engagement et souvent avec passion. Pour preuve, 86 % des répondants disent bien vivre l’adrénaline et se sentent compris ou a minima soutenu pendant les périodes où ils gèrent des crises. 79 % apprécient l’exercice d’équilibriste permanent entre les décisions à prendre et les informations disponibles pour pouvoir les prendre, tout au long d’une crise. Malgré cela, cela une proportion non négligeable de RSSI estimée à 38%, se sent encore loin d’avoir atteint ses objectifs de maturité en termes de gestion des risques et de protection. 44% se sentent encore challengés quant à la forte évolutivité des menaces informatiques.

L'échelle du stress perçu (PSS) par les RSSI e France entre 2021 et 2024. (Source: Cesin/Advens)

Des faiblesses sur la capacité à convaincre

Parmi les autres points saillants de cette étude, il apparaît également que le métier nécessite d’expliquer davantage et de convaincre. En effet un peu plus de la moitié des professionnels interrogés avouent avoir déjà donné un avis favorable à une posture de sécurité alors qu’elle était contraire à leurs convictions par découragement ou angoisse des négociations nécessaires à les faire valoir. Cette tentation de vouloir réduire le niveau d’exigence est peut-être l’une des conséquences les plus impactantes du stress associé à ce métier. Pire, 30 % d’entre eux ont ressenti à plusieurs reprises (2 %) ou occasionnellement (28 %) un sentiment de panique ou de paralysie lors d’une réponse à incident IT, dans une cellule de crise ou en dehors de la cellule. 

Ces quelques signaux négatifs ne doivent pas faire oublier la grande majorité des réactions positives dont ont su faire preuve les RSSI, comme la mise en place d’astreinte pour ne plus être la seule personne à solliciter jour et nuit. Sachant qu’au final, 75% d’entre eux se disent à l’aise avec l’étendue fonctionnelle et technique que doit couvrir leur métier. Ceci est d’autant plus important que le contexte dans lequel évoluent les professionnels de la sécurité IT ne s’est pas simplifié : augmentation du nombre d’attaques, renforcement du cadre réglementaire, nouveaux périmètres et nouvelles technologies à protéger font partie des défis à relever.

Les origines du stress mentionnées par les RSSI en 2024. (Source: Cesin/Advens)

Des actions pour alléger la charge mentale 

« A beaucoup d'égards, on comprend que les responsables de la cybersécurité ont atteint une forme d’âge de raison au sein de leurs entreprises », commente Benjamin Leroux, directeur du marketing chez Advens dans un communiqué. Pour lui, qu’il s’agisse de l’appréhension du métier, du statut interne ou de la valorisation par les salaires, ce professionnel a franchi un cap. « Il est bien mieux considéré qu’il y a trois ans, il le ressent et c’est heureux. ». Vincent Lefret, administrateur du Cesin, pointe aussi une évolution notable du métier confirmée par d’autres travaux. » Nous avons cartographié et contextualisé les situations de stress », précise ce dernier, ajoutant qu’il « appartient à chacun, dans la communauté et à ses parties prenantes, de s’emparer de ce matériau pour poursuivre la prise de conscience sur ce sujet et engager quelques actions d’amélioration. » 

Parmi elles, le Cesin et Advens recommandent d’utiliser l’échelle Perceived Stress Scale (PSS) et le questionnaire en 10 questions pour refaire le point sur le niveau de stress des RSSI. Sont également préconisés l’étude de situations récemment vécues où la charge n’a pas été contrôlable ainsi que la mise en place de plans d’actions pour essayer d’identifier le point commun à ces situations (gestion de crise, encadrement et management, posture de leader, surcharge de travail, etc.). Il est enfin recommandé aux RSSII dont la charge mentale serait trop lourde de ne pas attendre qu’il y ait urgence et savoir se tourner rapidement vers la sphère médicale et/ou les services RH de son entreprise.

Les différentes propositions d'amélioration de la charge mentale des RSSI. (Source: Cesin/Advens)