Responsable de la cybersécurité : le stress reste incontournable

Spread the love
Responsable de la cybersécurité : le stress reste incontournable

Responsable de la sécurité informatique d’une entreprise n’est certainement pas un job facile : quand tout va bien, on se demande à quoi vous servez, et quand tout va mal, c’est probablement signe que vous n’en avez pas fait assez. Ce cliché a la peau dure, mais deux études du CESIN viennent redessiner les contours de ce poste et montrer que si les responsables de la sécurité font effectivement face à un stress important, la plupart d’entre eux semblent satisfaits de leur travail actuel.
Dans une étude publiée le 15 septembre, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) en partenariat avec Advens a tout d’abord cherché à évaluer le niveau et les raisons du stress que rencontrent les responsables de la cybersécurité dans leurs fonctions.

L’étude a consisté à interroger 330 membres actifs du CESIN occupant des postes de « manager cyber » en cherchant à évaluer à la fois le niveau de stress auquel ils étaient soumis, et les principaux facteurs à l’origine de ce stress. Au travers d’un questionnaire, les résultats des sondés sont ensuite classés en trois zones sur un barème de 40 : la zone verte qui correspond à une situation de stress minimal (ou « positif ») entre 0 et 16 points, une zone orange qui traduit un sentiment « occasionnel » d’impuissance entraînant des perturbation émotionnelles entre 16 et 22 points, et enfin une zone rouge, qui traduit « un fort sentiment d’impuissance » et des risques pour la santé mentale et physique de la personne.

publicité

Le RSSI, fusible de l’entreprise ?

 

Parmi les 330 sondés de l’étude, 130 sont classés dans la zone verte (soit 39 % du panel), 108 se situent dans la zone orange (soit 33 % du panel) et enfin 92, soit 28 % des sondés, sont dans la zone rouge. La moyenne des résultats du baromètre, qui évalue le niveau de stress sur une échelle de 40, se situe à 18,4 ce que le CESIN interprète comme « un score collectif élevé » situé dans la zone orange.

Plusieurs raisons sont évoquées pour justifier ce niveau de stress professionnel : les responsables interrogés citent ainsi en premier lieu « la notion d’adversité », une spécificité du rôle de responsable sécurité que l’étude met en avant : « En dehors du secteur de la Défense, il y a peu de métiers en entreprise qui soient dans cette posture de lutte contre des ennemis de l’entreprise ; que ces adversaires soient des individus malveillants ou des organisations criminelles ».

L’autre versant de cette situation est l’instabilité supposée du poste, le fait de penser que sa situation professionnelle est incertaine et qu’une crise majeure peut signifier la perte de son emploi. 54 % des sondés estiment ainsi qu’une crise majeure pourrait leur coûter leur poste, un chiffre moins inquiétant que prévu selon les auteurs de l’étude. Pour le CESIN, « il est probable que les responsables Cyber surestiment le risque de perdre leur poste » mais cette perception peut néanmoins conduire à des comportements à risque et représenter un facteur de stress. Enfin, les sondés citent également la complexité du secteur et son caractère évolutif, qui peut rendre le domaine difficile à maîtriser en restant à l’état de l’art.

Quelques bonnes nouvelles néanmoins : seul 28 % des répondants se disent « découragés » face à la montée en fréquence des cyberattaques et environ autant de sondés se disent frustrés de ne pas pouvoir riposter aux cyberattaques qui les affectent. Le débat sur le « hack back » n’est donc pas au cœur des préoccupations des responsables de la sécurité interrogés par le CESIN.

Le salaire, nerf de la cyberguerre

Dans une seconde étude publiée cette semaine par le CESIN, le club s’est cette fois intéressé aux questions de rémunération des fonctions et des postes liés à la cybersécurité. Une étude qui a porté sur un panel assez similaire à la première : cette fois 290 professionnels membres du CESIN ont été sondés au travers d’un sondage mené par Opinionway. L’étude nous apprend que le salaire annuel moyen des sondés s’établit à 95 800 euros pour un salaire médian estimé à 89 200 euros. Les auteurs notent également que 43 % des sondés touchent une rémunération supérieure à 100 000 euros. Des disparités se font néanmoins sentir selon les postes, la région et la taille de l’entreprise : les responsables opérant dans le secteur industriel touchent ainsi des rémunérations moyennes évaluées à 110 000 euros, et sont d’ailleurs globalement plus satisfaits de leurs fiches de paie. Le secteur le plus avare en matière de salaire est le secteur public et administratif, avec un salaire annuel moyen évalué à 70 000 euros.

 

En 2017, le CESIN avait déjà publié des chiffres concernant les salaires de ses membres, qui s’établissaient alors à une moyenne de 100 000 euros. L’enquête portait alors sur 200 responsables de la cybersécurité, et montre que, si on constate une explosion des attaques depuis maintenant quatre ans, la moyenne des salaires n’a pas connu de grandes évolutions dans le secteur.

Le sujet n’est pas anodin : pour 3 responsable de sécurité sur 10, la perspective d’une augmentation est la première raison qui pourrait les pousser à changer de poste. Si 62 % des sondés estiment que leur rémunération actuelle est satisfaisante, 52 % estiment ne pas être suffisamment payés par rapport à leur engagement dans l’entreprise et 54 % par rapport à leur responsabilité, un chiffre proche de celui qui avait déjà été mis en avant lors de l’étude de 2017. 83 % se disent néanmoins satisfait de leur travail actuel, citant notamment la diversité des missions et des sujets à traiter comme source de motivation.

 

Ce qui transparaît de ces deux études, c’est l’image de responsables cybersécurité qui trouvent un véritable intérêt dans leurs missions, mais qui ne s’estiment pas forcement toujours reconnus à leur juste valeur. La première étude sur le stress mettait ainsi en avant les problèmes liés à l’image de ce rôle dans l’entreprise. Nombreux sont les responsables de la cybersécurité qui se sentent incompris voire jugés comme excessifs dans ces recommandations. Les auteurs de l’étude soulignent le manque de recul sur ces questions, et rappellent que les mentalités sur le rôle de l’activité cybersécurité ont considérablement évolué au cours des dernières années. Mais en 2015, le Clusif, club de la sécurité de l’information français, se demandait déjà à l’occasion d’une table ronde si le responsable de la cybersécurité était condamné « à manger tout seul à la cantine », souffrant de son éternel rôle d’empêcheur de tourner en rond de l’entreprise. Une mentalité qui semble donc perdurer six ans après : malgré des améliorations sensibles et un vrai goût du métier, les RSSI s’estiment encore mal compris et insuffisamment considérés par leurs collègues et leurs directions.

Leave a Reply