« Je ne veux plus jamais jouer un rôle opérationnel ». Tel a été le message envoyé par un RSSI à Jeff Polard, vice-président et analyste principal chez Forrester Research, en décembre dernier. les équipes sécurité du responsable se démenaient alors pour faire face à la dernière menace qui faisait la une des journaux, Log4j. « C’est un RSSI avec de l’expérience mais il s’est dit : « c’est reparti », raconte Jeff Polard. Comme s’il s’agissait de produire un effort herculéen pour lui et son équipe. Pour lui, c’était un peu comme dire « cette fois j’arrête » ».

La plupart des employés ont déjà éprouvé ce sentiment à un moment ou à un autre. Des études actuelles révèlent en effet que de nombreuses personnes se sentent dépassées et épuisées par la pandémie et toutes les perturbations engendrées. Des tensions que ressentent également les RSSI. Il n'y a qu'à jeter un oeil au rapport Lost Hours de l'éditeur en sécurité Tessian qui a interrogé 300 RSSI basés aux États-Unis et au Royaume-Uni. Le constat est sans appel : les RSSI travaillaient, en moyenne, 11 heures de plus chaque semaine par rapport à ce que prévoient leur contrat, 10 % travaillant même entre 20 et 24 heures de plus par semaine. L'étude a en outre révélé que 42 % des RSSI ont manqué des vacances comme Thanksgiving ou Noël, 40 % des congés en famille à cause du travail et 59 % d'entre eux déclarent avoir du mal à toujours se déconnecter du travail une fois la journée de job terminée en raison du stress. Ce sujet du stress est loin de concerner uniquement les RSSI outre Atlantique, c'est également le cas dans l'Hexagone comme l'a montré une récente étude du Cesin.

Un épuisement professionnel problématique

« L'épuisement professionnel des RSSI est définitivement un problème. C'est un souci encore plus important aujourd'hui que par le passé, car nous traversons une période sans précédent avec des pénuries de personnel, des gens en télétravail et l'augmentation des menaces non seulement au niveau national mais international. Tout cela est associé au fait que le paysage de la sécurité se développe à un rythme exponentiel », explique Thomas Johnson, RSSI chez Deft, un fournisseur de conseil et de services informatiques. « Il est difficile pour les RSSI de se tenir au courant de toutes les technologies et de tous les produits, de comprendre toutes les menaces, de rendre compte des mesures à la direction générale et au conseil d'administration. Le tout en essayant de maintenir un niveau de santé mentale et comprendre que votre plan ne sera jamais parfait et qu'il y aura toujours des portes qui ne seront jamais complètement fermées ».

A n'en pas douter, il devrait y avoir une répercussion personnelle pour les employés (y compris les RSSI) ayant atteint ce point de fatigue professionnelle. Il devient donc opportun et juste de se soucier du bien-être d'autrui. Il y a aussi des raisons organisationnelles - voire aussi personnelles - qui sont également préoccupantes, car tout employé éreinté ne peut plus apporter sa contribution.  Comme le demande Josh Yavor, le RSSI de Tessian : « Si les RSSI connaissent ce niveau d'épuisement professionnel, quel est l'impact sur leurs entreprises et sur les autres personnes avec lesquelles ils travaillent ? ». Et d'ajouter : « Ce n'est pas un appel à compatir sur les RSSI, mais à mettre en perspective les risques de mettre en place des politiques de sécurité dans un climat de fatigue généralisée ».

Des conséquences néfastes

L'épuisement professionnel des RSSI peut avoir un impact sur les organisations de plusieurs manières, déclare quant à lui Ed Bellis, co-fondateur et CTO de Kenna Security, une société rachetée par Cisco en 2021, et auteur d'un article de 2020 J'ai été RSS pendant 6 ans - Voilà pourquoi mon burnout est un tel problème. « Les RSSI ne sont pas des pleurnicheurs mais il y a beaucoup de gens qui souffrent de fatigue générale y compris des personnes qui sont au front, et cela fait partie du problème, mais ce qui est différent pour les RSSI, c'est l'impact de cet épuisement », déclare Ed Bellis. Parmi les conséquences, on peut citer un départ précoce de la fonction et une capacité réduite à diriger sa propre équipe. Sans parler de l'impact personnel du RSSI.

Le rapport Tessian a énuméré d'autres conséquences qui surviennent lorsque les RSSI sont surchargés. Cela concerne par exemple les enjeux sur lesquels ils ne consacrent pas assez de temps : recrutement de talents (36 %), assister à des réunions d'autres services (38 %), communiquer aux clients (35 %), rechercher de nouvelles mises à jour et tendances de l'industrie (36 %) et travailler sur leur propre développement de carrière (38%). Un autre rapport intitulé The Burnout Breach de l'éditeur 1Password a également identifié un problème de burn out dans les métiers de la sécurité. Il a trouvé que 84 % des personnes dans ce domaine ont déclaré se sentir épuisées et 10 % être "complètement contrôlées" et "faire le strict minimum au travail" en raison d'une fatigue professionnelle. Tandis que 44 % des professionnels de la sécurité gravement épuisés et 19 % de ceux qui ne sont que légèrement épuisés ont déclaré que les règles et politiques de sécurité « ne valent pas la peine ».

Un métier sous haute tension

Ed Bellis ou d'autres soulignent un contexte particulier : de très nombreux RSSI et professionnels de la sécurité maintiennent un haut niveau de performance pour eux-mêmes et leurs équipes en période de crise et de stress élevé ainsi que de défis quotidiens, tout comme leurs pairs dans d'autres rôles de direction et dans d'autres postes du département. Plus franchement : il est clair que tous les RSSI n'ont pas atteint le point de fatigue et ne devraient pas y arriver malgré la difficulté de leurs tâches. Et, notent-ils, bon nombre de ceux qui se trouvent dans de telles situations reconnaissent souvent la nécessité de changer de poste..

« Le niveau de stress associé au poste de RSSI a provoqué un taux de churn élevé sans précédent, de nombreux RSSI quittant leur poste au sein de l'entreprise et évoluant vers un rôle de conseil moins stressant », note Maurice Stebila, CISO chez Harman International et président fondateur de CxO InSyte, une entreprise spécialisée dans l'information cybersécurité. En effet, Matt Aiello, partenaire de la société de recrutement de cadres Heidrick & Struggles et responsable de la practice mondiale cybersécurité, déclare qu'il trouve que les RSSI sont attirés par les défis et s'épanouissent dans la résolution de problèmes. Il les décrit comme étant très axés sur la mission d'assumer sciemment ce rôle à haute tension et à gros enjeux. « Je dirais que le burn out professionnel est un vrai sujet, mais aussi que les RSSI ne s'épuisent pas facilement », ajoute-t-il.

Des RSSI pas assez soutenus

Cependant, Matt Aiello reconnaît également voir ce phénomène s'aggraver chez les RSSI dans certaines circonstances, par exemple après avoir dirigé des organisations pendant une reprise prolongée après un incident ou après avoir dirigé des programmes de transformation dans plusieurs rôles consécutifs. « Ensuite, ils disent :"Je veux faire quelque chose de différent", mais même dans ce cas, je ne suis pas sûr d'appeler cela un épuisement professionnel. Il se peut que certains cadres recherchent des postes qui mettent mieux en valeur leurs points forts que celui dans lequel ils occupent. Ou nous pouvons voir des RSSI vouloir prendre des congés, ce qui n'est pas rare pour les cadres d'autres domaines également », indique Matt Aiello.

Ed Bellis et d'autres ne sont pas en désaccord avec ces observations, mais ils voient toujours certains responsables en sécurité se retrouver dans des situations qui les ont empêchés d'avancer, où ils sont confrontés à des attentes irréalistes, à des ressources insuffisantes et à des menaces constantes. Rebecca Wynn, ancienne RSSI de Matrix Medical Network se souvient avoir connu des entreprises ayant exigences pour leurs responsables de la sécurité au-delà de ce qui est humainement possible et où personne ne peut répondre aux attentes. « Ce sont ces RSSI qui ont l'impression de nager vers la surface, ils ne gagnent pas en traction et n'ont aucun soutien de l'organisation », déclare quant à lui Jonathan Brandt, directeur des pratiques et de l'innovation auprès de l'association professionnelle de gouvernance informatique ISACA et auteur de l'article de janvier 2022 Finding Calm Amid Chaos : Improving Work-Life Balance.

Dans le même temps, ces organisations n'attribuent pas à la fonction de sécurité les succès qu'elle mérite et ne donnent pas non plus à leur RSSI l'autorité complète qui devrait accompagner le niveau de responsabilité attribué au rôle. Rebecca Wynn dit qu'elle-même a ressenti un sentiment d'épuisement professionnel dans un rôle antérieur, ce qui l'a incitée à faire des changements à la fois professionnels et personnels. elle a déménagé dans une autre entreprise, est devenue plus attentive à une alimentation saine et a cherché plus de moments pour se ressourcer.

Discutez des limites avant le bout du rouleau

Un RSSI qui se dirige vers l'épuisement peut en effet trouver qu'un nouveau poste ailleurs est la meilleure solution à la situation, dit Wynn. Elle est maintenant avec Click Solutions Group où elle agit en tant que stratège en cybersécurité, RSSI externe et conseillère en confidentialité pour les clients.

Wynn et d'autres disent qu'ils pensent que les RSSI, leurs équipes et, en fin de compte, leurs organisations seraient bien servis en s'attaquant aux scénarios qui provoquent le plus souvent le burn out dans les rangs de la sécurité, puis en créant des structures plus durables. Cela signifie identifier ce qui ne fonctionne pas dans le programme de sécurité, le leadership et/ou la culture, puis trouver des moyens de les corriger. « C'est le travail du RSSI de s'assurer que l'équipe peut mener à bien tout son travail », déclare Josh Yavor. Lui et d'autres disent que cela oblige les RSSI à aider leurs collègues exécutifs et leurs conseils d'administration à comprendre quelles capacités ils sont réalistes en mesure de fournir en fonction des ressources qui leur sont allouées et comment ces éléments sont corrélés au profil de risque et à la posture de l'organisation.

« Il s'agit de définir les bonnes attentes en matière de sécurité avec le reste de l'organisation et de pouvoir dire : "Je ne suis pas capable de faire ces choses avec ces ressources et les contraintes sous lesquelles nous opérons, et aussi d'être performant et durable" », déclare Josh Yavor. Si l'organisation ne peut pas accepter ce ratio ressource-risque, les RSSI doivent se sentir habilités à repousser, discuter des limites de ce qu'eux-mêmes et leur équipe peuvent fournir, et des ressources nécessaires pour ramener le risque à un niveau acceptable sur le plan organisationnel sans pousser personne. dans les rangs de sécurité sur le bord. Quant à Jeff Pollard, ce dernier affirme que les RSSI sont mieux placés que jamais pour avoir ces conversations. « Les dernières années ont accru l'importance de la sécurité et la reconnaissance de cette importance », dit-il, « et par conséquent, les responsables de la sécurité ont vraiment beaucoup de crédibilité maintenant et ils obtiennent plus de ce qu'ils veulent ».