24 septembre 2021

La vie de RSSI n’est pas un long fleuve tranquille

The Stages of Sleep Deprivation - Causes, Symptoms, Treatment

Introduction

D’après l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI), depuis le début de la crise sanitaire, le nombre de cyberattaques a été multiplié par 4 en 2020. En effet, bien qu’il ne s’agisse pas de l’unique cause, la pandémie mondiale a entraîné une augmentation des usages numériques (recherches d’informations, achats en ligne, ouverture du système d’information pour le télétravail, etc.).

Au cours de l’année 2020, la plateforme CyberMalveillance, dispositif national d’assistance aux victimes d’actes de cybermalveillance, a connu une forte hausse de sa fréquentation (+155% par rapport à 2019) avec un pic de +600% la première semaine du premier confinement.

Figure 1 : Évolution des demandes d’assistance

Du côté des professionnels privés comme publics (hôpitaux, communes, etc.), les attaques par rançongiciels sont devenues en un an la principale menace.

Figure 2 : Répartition des types d’attaque les plus répandus

La totalité des attaques a un coût, que cela soit de manière directe (financière), indirecte (image) ou encore « indirecte indirecte » avec les équipes que ces attaques épuisent.

Le stress, l’un des grands maux de notre génération

Avant toute chose, nous vous proposons une introduction au stress ! Le stress n’est pas nécessairement quelque chose de négatif. En effet, il a été prouvé que si la situation stressante est assez brève, le stress peut alors être positif, permettant de s’adapter à un nouveau contexte. Par ce biais, il se transforme alors en source de motivation et d’énergie (qui n’a jamais été excité à l’idée de faire quelque chose de nouveau ?). Néanmoins, pour cela, il est nécessaire d’agir en avance de phase, d’anticiper, de s’adapter à la situation afin de ne pas avoir à la subir.

L’évaluation du niveau de stress se base sur la Perceived Stress Scale, dont l’objet est la détermination du niveau de stress ressenti. Cette échelle donne une évaluation allant de 0 à 40 :

  • En dessous de 16 (zone verte), le stress est considéré comme positif (source de motivation)
  • Entre 16 et 24 (zone orange), on note des sentiments d’impuissance occasionnels et des perturbations émotionnelles.
  • Au-dessus de 22 (zone rouge), l’individu se situe en zone rouge, accompagnée de risques pour la santé physique et mentale, le burn-out
Figure 3 : PSS

RSSI, la face cachée de l’iceberg

L’augmentation des attaques a un impact important sur les équipes en charge d’assurer la confidentialité, l’intégrité ainsi que la disponibilité des systèmes d’information. En effet, les équipes doivent faire face à l’extension du paysage des menaces (dû à l’accroissement de la complexité des technologies utilisées) et répondre aux injonctions (parfois|souvent) contradictoires du top management. La résultante est que les RSSI sont sous pression constante.

A la suite de plusieurs sondages, il s’est avéré que 95% des RSSI interrogés travaillent plus de quarante heures hebdomadaires, allant en moyenne jusqu’à 50 heures par semaines pour tenter d’achever les tâches qui leur incombent.

Une moyenne de 18,4 sur l’échelle PSS a été identifiée traduisant un haut niveau de stress. Une moyenne ne reflétant pas forcément les extrémités, cette dernière se décompose par 39% des RSSI en zone verte, 33% en zone orange et 28% en zone rouge.

Un stress élevé peut être supportable sur une durée courte. Néanmoins, sur la durée, ce dernier impacte la santé des responsables, qu’elle soit mentale ou physique.

Parmi les facteurs de stress les plus souvent rencontrés, il est possible d’identifier :

  • Le contexte d’adversité. La bataille contre des adversaires multiples et invisibles est également difficile. Il est usant de se battre sur tous les fronts en même temps.
  • La difficulté de déconnexion. Avec des journées de travail qui s’allongent et des nuits paisibles qui s’amenuisent, il n’est pas facile pour les RSSI de garder une pleine activité sur une période relativement longue.
  • La culpabilité et le sentiment d’incertitude et d’imprévu. Les attaques arrivant toujours au moment où on ne les espère pas, les RSSI doivent être sur le pont à toute heure pour assurer la gestion de la crise en cas de besoin. Les différents sondages mettent également en avant une pensée bien ancrée comme quoi une crise majeure pourrait leur coûter leur poste.

Malgré une pénurie de compétence, il devient alors compréhensible que la durée moyenne d’un mandat de RSSI soit relativement courte (26 mois) et que près de 9 RSSI sur 10 soient en phase d’accepter une réduction de 7% de leur salaire en moyenne contre une amélioration de l’équilibre entre vie professionnelle et vie privée.

Oui, mais après ?

Faire une étude aux résultats aussi alarmants sans proposer de plan d’action revient à la même chose que réaliser un audit de sécurité et ne pas appliquer les recommandations, cela n’a pas de sens.

En effet, maintenant que cette prise de conscience est faite, il est nécessaire de mettre en place les dispositifs adéquats pour permettre aux responsables de la sécurité de sortir la tête de l’eau.

Plusieurs pistes sont actuellement à l’étude telles que la mise en place d’ateliers de résilience face au stress ou encore la création de séminaires dédiés. Néanmoins, ce pas en avant nécessite plus que tout un accompagnement de la part de l’employeur avec notamment la fonction des Ressources Humaines qui est la clé de voûte de l’accompagnement au bien-être des employés et qui doit identifier en avance de phase des baisses de motivation au sein des employés. Une assiduité en baisse, une motivation générale sur le déclin, une humeur changeante, une mine blafarde sont tous ces points à analyser au quotidien afin d’anticiper un éventuel haut niveau de stress, que cela soit chez les responsables, mais également chez l’ensemble des collaborateurs. Redonnons ses lettres de noblesse au H de RH.

Dans un monde où la rentabilité prime sur tout, il est nécessaire de remettre l’humain au cœur de l’entreprise, car sans les personnes qui la constituent, l’entreprise n’est pas grand-chose (on n’a jamais vu une grande équipe de foot composée d’aucun joueur). La crise sanitaire que nous avons connue a également « éloigné » les collaborateurs, certains vivant mal l’isolement, ces signes doivent être pris en compte au plus tôt afin de s’assurer la bonne continuité des différentes activités.

Vous souhaitez évaluer votre niveau de stress au quotidien ? N’hésitez pas à prendre deux minutes de votre temps pour compléter le test suivant : https://burnoutindex.yerbo.co/

En fonction des résultats, forcez-vous à prendre des congés, à vous remettre au sport ou à toute activité vous permettant de vous évader. Comme le dirait mon estimé collègue de travail Confucius, notre deuxième vie commence quand on réalise qu’on n’en a qu’une.

Mot de la fin

Je dédie cet article à Bruno, un grand monsieur de la sécurité informatique qui m’a toujours beaucoup inspiré et qui a subi ce stress, remettant en cause sa disponibilité, son intégrité physique et mentale, mais jamais sa confidentialité. Force à lui.

Source : https://www.cesin.fr/fonds-documentaire-le-cesin-et-advens-revelent-les-resultats-dune-grande-enquete-inedite-sur-le-stress-des-responsables-cyber.html

24 septembre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *