Selon une récente prévision du Gartner, près d'un responsable de la cybersécurité sur deux pourrait changer de poste d'ici 2025, profitant du dynamisme actuel du marché de l'emploi. Mais cette pénurie de compétences pourrait-elle dans le même temps entraîner un cercle vicieux ? Les responsables en poste témoignent en effet de niveaux de stress importants, un phénomène qui, selon le Gartner, pourrait pousser près d'un quart d'entre eux à changer complètement de métier d'ici 2025.

En 2021, le Cesin soulignait déjà le stress associé aux métiers de la cybersécurité. « Les professionnels de la cybersécurité sont confrontés à des niveaux de stress intenables », confirme Deepti Gopal, directeur analyste chez Gartner. « Les RSSI sont sur la ligne de défense, avec deux possibilités seulement : soit ils ne sont pas piratés, soit ils le sont. L'impact psychologique d'une telle situation affecte directement la qualité des décisions et la performance des responsables et de leurs équipes. » Si le stress inhérent au domaine ne peut réellement être éliminé, le soutien et la reconnaissance jouent en revanche un rôle essentiel pour retenir les professionnels qui occupent ces postes difficiles.

L'analyse du Gartner pointe un certain nombre de signes indiquant qu'une organisation n'accorde pas à la cybersécurité l'importance qu'elle mérite. Ainsi, des programmes de cybersécurité centrés sur la conformité, un faible support des dirigeants et une maturité en deçà de celle du secteur d'activité sont autant d'indicateurs qu'une organisation ne considère pas la gestion des cyber-risques comme un enjeu clef pour son succès. De telles entreprises sont les plus à même de voir leurs collaborateurs en sécurité IT partir pour aller vers des rôles où ils seront davantage valorisés.

Une reconnaissance nécessaire pour prévenir les menaces internes

Le Gartner estime également que les facteurs humains seront responsables de près de la moitié des cyber-incidents majeurs d'ici 2025. Le manque de talents, combiné à la fréquence élevée des problèmes d'origine humaine, pourrait ainsi se révéler dévastateur. Une enquête menée par le cabinet en mai et juin 2022 auprès de plus de 1 300 employés de tous secteurs a ainsi révélé que 69 % d'entre eux avaient contourné les mesures de cybersécurité de leur organisation dans les 12 mois précédents. Et 74 % d'entre eux se déclaraient prêts à faire de même si cela pouvait leur permettre d'atteindre leurs objectifs métiers. Les dirigeants eux-mêmes sont loin d'être exemplaires en la matière, comme le révélait une étude d'Ivanti en janvier.

Pour se prémunir contre ces menaces croissantes, la moitié des organisations pourraient adopter des programmes formalisés pour gérer les risques internes d'ici 2025, contre 10 % aujourd'hui. De tels programmes visent à identifier proactivement les comportements pouvant mettre en péril l'organisation et ses données, en vue de déployer des actions correctives, plutôt que punitives. Mais pour adresser ces risques internes, les RSSI et directeurs de la cybersécurité devront sans doute se montrer davantage coercitifs - comme l'illustre Cédric Cartau, RSSI du CHU de Nantes, dans une récente chronique pour le site DSIH. D'où l'importance d'accorder davantage de reconnaissance et d'autorité à ces fonctions...