Les professionnels de la cybersécurité dans la région Asie-Pacifique sont souvent confrontés à un stress lié à leur travail.
Des études montrent que la majorité des travailleurs du secteur ressentent un épuisement professionnel, avec jusqu’à 90 % des employés touchés à divers degrés. Les principales causes de ce burnout incluent un manque de ressources et la fatigue liée aux alertes, entraînant une anxiété ou un désengagement chez les employés.
Des dirigeants de l’entreprise australienne de cybersécurité Tesserent ont partagé des conseils pour les responsables de la sécurité de l’information (CISO) souhaitant préserver leur santé mentale dans ce secteur. Ces recommandations ont été formulées dans le cadre de la journée R U OK? en Australie, une initiative axée sur la santé mentale.
Importance de la santé mentale pour les CISO
Les problèmes de santé mentale touchent de nombreux métiers dans le domaine de la cybersécurité. Les postes de CISO, en particulier, sont réputés pour leur niveau de stress élevé, en raison d’un environnement de menaces constant et croissant.
Ce stress a poussé certains professionnels à envisager des changements de carrière radicaux. À l’échelle mondiale, Gartner prévoit qu’environ la moitié des leaders en cybersécurité changeront d’emploi d’ici fin 2025, avec environ un quart d’entre eux se dirigeant vers d’autres rôles. Par ailleurs, l’organisme de l’industrie de la cybersécurité en Australie, AustCyber, estime que le pays manquera de 17 000 professionnels de la sécurité au cours des deux prochaines années.
Le burnout pousse les professionnels de la cybersécurité à quitter le secteur
Les dirigeants de Tesserent ont été témoins de l’épuisement professionnel dans le secteur de la cybersécurité en Australie.
Patrick Butler, partenaire directeur des services gérés et professionnels, a déclaré connaître plusieurs CISO qui ont quitté leurs postes pour se tourner vers d’autres carrières ou des rôles en cybersécurité en dehors de la réponse aux incidents.
Jason Plumridge, CISO de Tesserent, a également observé le stress et la pression auxquels d’autres CISO font face.
« Je dirais qu’en moyenne, 50 % des CISO et autres leaders en sécurité changent de poste en raison du stress et du manque de soutien », a-t-il affirmé. « Cependant, les statistiques mondiales indiquent que le taux de rotation est encore plus élevé. »
Mark Jones, partenaire senior chez Tesserent, a également constaté que de nombreuses personnes s’épuisent et quittent le secteur de la cybersécurité.
« Je connais au moins cinq anciens professionnels de haut niveau qui ont quitté l’industrie parce que la pression incessante était trop forte », a-t-il déclaré. « Le travail en dehors des heures normales est fréquent, ce qui peut avoir des répercussions sur les relations personnelles et le bien-être d’un individu. »
Silas Barnes, partenaire senior des services de sécurité offensive chez Tesserent, a également vu des CISO quitter leurs postes en raison du stress. « L’un d’eux a démissionné et a pris une année entière pour se remettre », a-t-il noté.
Stratégies pour gérer la santé mentale des CISO
Préparation adéquate
Butler admet qu’il était « totalement non préparé » au stress de la cybersécurité lorsqu’il a commencé sa carrière il y a 16 ans.
« J’ai mis beaucoup de temps à apprendre à gérer ce stress, et même maintenant, je n’y suis pas encore parvenu complètement », a-t-il déclaré.
Un événement marquant pour lui remonte à 2017, lorsqu’il a souffert d’épuisement et de problèmes de santé après un exercice de simulation d’adversaire, où son équipe a passé plus d’une semaine à simuler un acteur de menace sophistiqué au sein du réseau. À la fin de cette semaine, « l’épuisement et le burnout ont nécessité des mois de récupération », a-t-il expliqué.
Les CISO peuvent mieux gérer le stress et la pression en comprenant leurs propres faiblesses, en évaluant les risques et en se préparant au pire, a-t-il ajouté.
« Être bien préparé réduit le stress lors d’un incident », a-t-il précisé. « Il est essentiel de partager la responsabilité des risques de sécurité au sein de l’organisation. »
Équilibrer vie professionnelle et vie personnelle
Les CISO doivent dissocier le stress lié à leur travail de leur vie personnelle.
Barnes a lui-même souffert d’épuisement au cours de sa carrière en sécurité. Pour lui, le stress a affecté son sommeil et sa capacité à se déconnecter du travail pendant ses heures de repos.
« La combinaison de responsabilités critiques, de pression élevée et des conséquences dévastatrices des violations de données rend difficile la déconnexion, même pendant les congés », a-t-il déclaré.
Butler conseille aux CISO de renforcer leur capacité à compartimenter leur vie professionnelle et personnelle.
« Trouvez un moyen de protéger votre temps personnel afin de pouvoir vous déconnecter et enseigner à votre esprit que vous êtes passé du travail à votre temps personnel », a-t-il expliqué, notant que cette approche permet aux professionnels de la cybersécurité de « laisser derrière eux les soucis de la journée ».
Déléguer des tâches
Plumridge a convenu que la séparation entre vie professionnelle et vie personnelle est cruciale. Il a également souligné que les CISO devraient déléguer stratégiquement des tâches à leurs équipes pour alléger leur propre stress.
« Bien qu’un CISO doive être joignable 24 heures sur 24 en cas d’incident de sécurité, cela ne signifie pas que vous devez être mentalement et physiquement disponible 24 heures sur 24 », a-t-il expliqué.
Les CISO doivent évaluer et prioriser les exigences en fonction des risques et de l’impact pour gérer leur temps et leur stress. « Les CISO doivent faire confiance à leurs collègues pour continuer à répondre aux exigences du rôle en votre absence et éviter de microgérer chaque événement », a-t-il ajouté.
Pratiquer une hygiène mentale de base
Une bonne santé mentale et un bien-être adéquat sont essentiels pour maintenir les professionnels de la cybersécurité au sommet de leur performance. Barnes recommande aux professionnels de la cybersécurité de consacrer du temps à l’activité physique, de suivre un régime alimentaire équilibré et de surveiller leur consommation d’alcool.
Par exemple, il a adopté le parachutisme comme moyen de se déconnecter du travail, de réduire le stress et de se plonger dans l’instant présent.
« En plus de sauter d’avions, je m’assure également de prendre des pauses de taille raisonnable lors de mes congés, en veillant à ce qu’elles soient plus longues qu’un ou deux jours, afin de me donner une chance de vraiment me détendre », a-t-il déclaré.
Se concentrer sur l’amélioration continue plutôt que sur la perfection
Les rôles de CISO sont devenus complexes et englobants, a déclaré Plumridge. Ce poste génère un grand nombre de priorités concurrentes nécessitant attention et action. Il a souligné que les CISO doivent reconnaître qu’ils « peuvent contrôler certaines choses et d’autres non ».
Barnes a expliqué que les CISO ne peuvent que faire de leur mieux.
« Ne perdez pas de temps à poursuivre la perfection, et ne vous culpabilisez pas de ne pas être parfait », a-t-il conseillé. « Concentrez-vous plutôt sur la valeur que vous apportez à votre organisation et sur une amélioration continue et durable. »
Reconnaître l’impact des réseaux sociaux
Les leaders en sécurité devraient évaluer le temps qu’ils passent à consulter le contenu d’autres professionnels de la cybersécurité et de dirigeants d’entreprise sur les plateformes de médias sociaux, a suggéré Barnes, car cela peut avoir des effets négatifs sur la santé mentale.
« La pression accrue pour développer une marque personnelle ou être perçu comme un ‘leader d’opinion’ par la communauté peut engendrer des sentiments d’insécurité, d’inadéquation et d’anxiété pour ceux qui se concentrent sur leur travail quotidien », a-t-il déclaré.
Les CISO devraient plutôt se concentrer sur leur propre parcours personnel et éviter de se comparer aux autres. L’image que d’autres professionnels présentent sur les réseaux sociaux ne reflète pas nécessairement la réalité du travail dans l’industrie, a noté Barnes.
Comment les organisations peuvent protéger la santé mentale
Faire de la cybersécurité une responsabilité partagée
Les dirigeants de Tesserent soutiennent que la cybersécurité doit être une responsabilité partagée au sein de l’organisation.
« Le CISO doit sentir le soutien de toute l’équipe de direction, car la résilience en matière de cybersécurité est une responsabilité collective », a déclaré Barnes.
Kurt Hansen, PDG de Tesserent, a affirmé que prêter attention aux besoins exprimés par les CISO pour protéger l’organisation, ses employés et ses clients contribuera à soutenir la santé mentale de leur équipe de cybersécurité.
Une bonne structure d’entreprise pour contrer les menaces
Une structure d’entreprise solide est nécessaire pour gérer les efforts de confinement et d’éradication des menaces cybernétiques 24 heures sur 24. Butler a précisé que cela va au-delà des équipes de réponse aux incidents ou du centre des opérations de sécurité, englobant également les équipes informatiques et de gestion, qui doivent être « disponibles 24 heures sur 24 en cas de crise majeure ».
« Souvent, les organisations n’ont pas prévu cela, ce qui entraîne un risque significatif de ne pas avoir les ressources clés disponibles ou de provoquer l’épuisement des équipes travaillant sans relâche », a-t-il expliqué.
Les employeurs doivent « reconnaître que les employés sont des êtres humains », a déclaré Butler, et créer des processus, des structures et des stratégies qui minimisent le risque de burnout ou de stress.
« Cela est non seulement bénéfique pour vos employés, mais essentiel pour gérer efficacement les risques et éradiquer les menaces », a-t-il ajouté.
Investir dans les technologies et les talents en cybersécurité
Les organisations doivent investir dans les technologies et les talents nécessaires pour adopter la meilleure posture de cybersécurité possible.
Plumridge a souligné que, pour de nombreux CISO, l’incapacité à obtenir les investissements nécessaires dans les technologies de cybersécurité pour renforcer la sécurité de l’organisation peut engendrer un stress supplémentaire lié au travail.
Les employeurs doivent également comprendre que les processus et d’autres facteurs humains non techniques influencent également la posture de sécurité.
Plumridge a conseillé aux entreprises d’« être prêtes à payer des tarifs de marché pour la sécurité de l’organisation et à acquérir les compétences et l’expérience nécessaires ».
