[Le plein de cyber] Responsables cyber au bord de la crise de nerfs
Un tiers des responsables cybersécurité présentent un niveau de stress dangereux, avec des risques accrus pour la santé physique et mentale, selon une étude sur le sujet. Pour le médecin co-auteur, elle met le doigt sur une profession à risque.
Mis à jour
23 septembre 2021
Les responsables cybersécurité français sont au bord de la crise de nerfs. C’est la conclusion à tirer d’une étude publiée le 15 septembre par le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) et la société Advens. Basée sur une échelle reconnue d’appréciation du stress, la Perceived Stress Scale (PSS), elle montre que seuls 39% des répondants connaissent un stress jugé positif ou stimulant. Les autres se situent soit dans la zone dite orange (33%), où le stress est synonyme de sentiments occasionnels d’impuissance et de perturbations émotionnelles, soit en zone rouge (28%), avec des risques accrus pour la santé physique et mentale.
« Près d'un tiers d’une population professionnelle qui est susceptible de développer des troubles psychiques ou somatiques à cause du stress, c’est suffisamment important pour qu'on s'en préoccupe, analyse Alain Livartowski, médecin oncologue à l'Institut Curie, qui a participé à l’étude. Finalement, il n’y a qu’un tiers des responsables cyber qui vont bien. »
Pas d'amélioration au repos, comme les soignants
Si ce médecin a été appelé à participer à l’étude, c’est parce qu’il a travaillé sur le burn-out des soignants. Une expérience qui lui permet de faire plusieurs analogies entre le stress des responsables sécurité des systèmes d’information (RSSI) et le syndrome d’épuisement professionnel du soignant. « La première analogie est que ces deux populations ne voient pas d’amélioration quand elles sont au repos : quand elles rentrent chez elle, elles gardent le même état de stress qu’au bureau. L’autre concerne le sentiment de ne pas être efficace, avec une diminution de l’accomplissement de soi au travail et un retentissement sur la vie personnelle.»
Difficile pour lui d’aller plus loin dans le diagnostic. L’étude n’a été faite qu’avec des questionnaires fermés – remplis par 330 répondants, dont 60% de RSSI et 20% de directeurs cybersécurité, tous sont issus d’entreprises et organismes publics français – sans entretiens qualitatifs. L’analyse des causes du stress est donc limitée. « Les réponses aux questions font tout de même ressortir quelques causes évidentes, observe Alain Livartowski. Les responsables cyber sont sans arrêt sur le pont et ne bénéficient pas de période où ils peuvent décrocher, leur responsabilité est très forte et c’est une profession qui n’est pas reconnue comme très importante. Ils ont peu de reconnaissance de leurs collègues et sont souvent vus au contraire comme une source de contraintes. »
Pour ce médecin, la démonstration est faite : les responsables cybersécurité sont une profession à risque. A elle, aux dirigeants d’entreprise et à la médecine du travail de se saisir désormais du problème.