Si la cybersécurité est réputée pour être un domaine stressant, une étude menée par le Club des experts de la sécurité de l'information et du numérique (Cesin) et la société de services spécialisée Advens vient appuyer cette perception par des chiffres, et ceux-ci sont plutôt inquiétants. En effet, sur les 330 membres du Cesin qui se sont prêtés à l'étude, réalisée avec le concours d'un coach et d'un médecin oncologue, 61% ont un niveau de stress susceptible d'avoir des conséquences néfastes sur la santé.

Le niveau de stress a été évalué en se basant sur l'échelle PSS (perceived stress scale), qui va de 0 à 40. En deçà de 16, le niveau de stress ressenti correspond à la « zone verte », où il est jugé positif ou stimulant. Toutefois, dès ce seuil atteint, les individus entrent dans la « zone orange », avec des risques pour la santé mentale. Entre 16 et 22, le stress se traduit notamment par des sentiments d'impuissance occasionnels et des perturbations émotionnelles. Au-delà, le niveau de stress entre dans la « zone rouge », où les risques pour la santé physique et mentale des individus s'accroissent nettement. Le niveau de stress moyen ressenti par les responsables de la cybersécurité interrogés est d'emblée supérieur à la zone verte, puisqu'il atteint 18,4 - à titre de comparaison, le niveau de stress moyen pour les cadres et ingénieurs français dans une autre étude était de 12,2. Si 39% des répondants de l'enquête du Cesin sont dans la zone verte, 61% sont au-dessus, dont 33% en zone orange et 28% en zone rouge, soit 92 personnes. Parmi ces dernières, 62 présentent un risque d'épuisement professionnel, et 22 courent même un risque de dépression clinique, avec un score supérieur à 28 sur 40.

Des professionnels face à l'adversité et l'incertitude

D'après les réponses des répondants, cinq facteurs contribuent fortement au stress. Il s'agit en premier lieu de la notion d'adversité, la lutte contre des ennemis souvent invisibles étant pointée par 82% des participants. Viennent ensuite les incertitudes sur leur poste, 54% considérant qu'une crise majeure pourrait leur coûter celui-ci (et même 65% chez les répondants en zone rouge). Le fait de devoir justifier de l'utilité de leurs actions ; le manque de déconnexion, avec le besoin d'être sans cesse sur le qui-vive en cas d'attaque et enfin la nécessaire adaptation permanente face à des menaces très évolutives s'avèrent également sources de stress pour ces professionnels. Par ailleurs, les responsables de la cybersécurité souffrent également de la perception de leur métier au sein des entreprises, même si les auteurs de l'étude pointent que ces professions sont aujourd'hui mieux comprises qu'il y a cinq ans. 38% des répondants déclarent que leur métier souffre « encore » d'un a priori plutôt négatif et 47% se sentent incompris, voire parfois jugés excessifs. Enfin, 28% des répondants se sentent découragés devant l'augmentation de la fréquence et de la puissance des cyberattaques, et près de la moitié ont un sentiment d'impuissance face au caractère asymétrique de la lutte, un indicateur à suivre avec attention selon les auteurs de l'étude.

Face à ces résultats préoccupants, le Cesin a décidé d'engager différents travaux sur le sujet, pour agir sur les causes du stress ou en atténuer les conséquences. L'association va également transformer cette étude en baromètre annuel, afin de suivre l'évolution du niveau de stress dans la durée. Pour Mylène Jarossay, présidente du Cesin, « cette étude confirme qu'il était urgent de se pencher sur la charge mentale des professionnels de la cybersécurité, afin d'identifier des pistes pour prendre soin de ceux qui assurent, chaque jour, un travail de défense complexe et exigeant. »