Des attaques de plus en plus sophistiquées, un blâme de violation et une inévitabilité, une charge de travail implacable – travaillant en cybersécurité nécessite d’accepter les certitudes difficiles et de faire avancer de toute façon.
Une carrière dans la cybersécurité est attrayante pour plusieurs raisons. La pénurie perpétuelle de praticiens de la sécurité signifie que vous pouvez toujours trouver un emploi, et le marché serré des talents garantit un tir à un grand salaire et des avantages sociaux.
De plus, pour les personnes qui prospèrent dans un environnement rapide et à haute pression, il n’y a certainement jamais de moment terne dans la sécurité. Et vous faites quelque chose d’important; Travailler pour garder votre organisation à l’abri de la cyberattaque.
D’un autre côté, les vérités dures abondent pour les professionnels de la sécurité. Voici six des plus difficiles et ce que vous pouvez faire pour les atténuer et les gérer.
Chaque saut technologique sera utilisé contre vous
La technologie de l’information est une discipline construite en grande partie sur les avancées rapides. Certains de ces sauts technologiques peuvent aider à améliorer votre capacité à sécuriser l’entreprise. Mais chacun d’entre eux porte de nouveaux défis du point de vue de la sécurité, dont le moindre n’est pas comment ils seront utilisés pour attaquer vos systèmes, réseaux et données.
L’IA générative, par exemple, peut être utilisée pour augmenter les opérations de sécurité, mais elle s’avère également être un défi à sécuriser. De plus, Gen AI permet aux pirates de générer des leurres de phishing plus convaincants, des parodie de voix et des vidéos DeepFake – et de monter des attaques multicanaux qui s’étendent sur les courriels, les médias sociaux et les plateformes de collaboration.
Quatre-vingt-sept pour cent des professionnels de la sécurité signalent que leur organisation a rencontré une cyberattaque de CIA au cours de la dernière année, selon les tendances de la cybercriminalité en 2025 de Sosafe, une enquête auprès de 600 professionnels de la sécurité mondiale. Alors que 91% des experts en sécurité interrogés ont déclaré qu’ils prévoyaient une augmentation des menaces axées sur l’IA au cours des trois prochaines années, seulement 26% expriment une grande confiance dans leur capacité à détecter ces attaques.
Comme si cela ne suffisait pas, l’informatique quantique arrive rapidement, posant de nouveaux risques de sécurité. Chris Dimitriadis, chef de la stratégie mondiale d’Isaca, a déclaré: «Compte tenu des progrès quantiques récents, nous pouvons nous attendre à ce que l’informatique quantique soit présente dans nos plateformes et processus quotidiens dans les risques de cybersécurité. Utiliser, rendre les services simples inutiles. »
Ce que vous pouvez faire: Les organisations doivent commencer à se préparer maintenant. Les pirates sont déjà engagés dans des attaques dite «récolte maintenant, décrypter plus tard» dans lesquelles ils volent des données cryptées pour le décryptage via quantum à une date ultérieure. Les membres du personnel doivent être formés à la fois sur l’IA et le quantum. Les dirigeants de la sécurité doivent développer et mettre en œuvre des politiques, mettre en place des garde-corps et déployer les outils appropriés pour s’assurer que l’organisation est préparée pour ces nouveaux types de menaces.
Peu importe à quel point vous êtes bon, votre organisation sera victime
C’est difficile à avaler, mais si nous adoptons l’approche des «cinq étapes du chagrin» de la cybersécurité, il est préférable d’atteindre le niveau de «l’acceptation» que de rester dans le déni, car une grande partie de ce qui se passe est simplement hors de votre contrôle.
Une enquête mondiale auprès de 1 309 professionnels de l’informatique et de la sécurité a révélé que 79% des organisations avaient subi une cyberattaque au cours des 12 derniers mois, contre 68% il y a seulement un an, selon le rapport des tendances de la sécurité hybride du fournisseur de cybersécurité Netwrix.
Les références compromises (16%) et le phishing (15%) étaient les deux principales causes de violations de données identifiées dans l’édition 2024 du coût annuel d’IBM d’un rapport de violation de données, réalisé par le Ponemon Institute. Ainsi, malgré la formation à la sécurité, les utilisateurs finaux tombent toujours pour les attaques de phishing et permettent toujours de voler leurs informations d’identification.
Une fois qu’un pirate est initié votre réseau, il peut fonctionner pendant des mois à votre insu. Ponemon dit qu’il faut en moyenne 292 jours pour identifier et contenir des violations impliquant des références volées, 261 jours pour identifier et résoudre les attaques de phishing et 257 jours pour les attaques d’ingénierie sociale.
Ce que vous pouvez faire: Gartner recommande que les leaders de la sécurité et de la gestion des risques (SRM) passent d’un état d’esprit de prévention à l’accent mis sur la cyber-résilience, ce qui met l’accent sur la minimisation de l’impact et l’amélioration de l’adaptabilité. En d’autres termes, adoptez une mentalité «quand, pas si» et acceptez que les incidents sont inévitables.
Le blâme de violation vous tombera – et les retombées pourraient inclure la responsabilité personnelle
Comme si être victime d’une violation de la sécurité ne suffisait pas, les nouvelles règles de la Commission des titres et de l’échange (SEC) ont mis les CISO dans le réticule pour des poursuites pénales potentielles. Les nouvelles règles, entrées en vigueur en 2023, obligent les entreprises cotées en bourse à signaler tout incident de cybersécurité importante dans les quatre jours ouvrables.
Toujours en 2023, la SEC a inculpé Solarwinds Ciso Timothy G. Brown de fraude et de défaillances de contrôle interne liées à la tristement célèbre violation de Solarwinds de 2019. Plus récemment, une cour d’appel a rejeté presque tous les chefs d’accusation contre Solarwinds et Brown.
Mais la préoccupation demeure que les CISO prendront la chute des violations de données. Dans la voix de Proofpoint 2024 de l’enquête sur le CISO, 66% des CISO mondiaux ont déclaré qu’ils étaient préoccupés par la responsabilité personnelle, financière et juridique de leur rôle, contre 62% en 2023.
Que pouvez-vous faire: Vous ne pouvez pas toujours empêcher les violations, mais vous pouvez mettre en place un plan solide de détection et de réponse des incidents. Et il existe des façons dont les CISO peuvent se protéger de la responsabilité personnelle, notamment l’obtention de votre propre avocat et le lobbying pour inclusion dans la police d’assurance D&O de votre entreprise. Il est essentiel d’établir des lignes de communication ouvertes avec le conseil d’administration et la suite C, tout comme un livre de jeu qui présente les types de divulgations et de dépôts nécessaires pour se conformer aux nouveaux règles. Il est également essentiel de considérer la façon dont vous communiquez afin de vous protéger de la responsabilité.
Les compétences et les pénuries de talents ne disparaissent pas de sitôt
Les nombres bruts sont toujours un peu choquants lorsque ISC2 dévoile son étude annuelle de main-d’œuvre de cybersécurité. Cette année, la pénurie de travailleurs a augmenté de 19% pour atteindre 4,8 millions, tandis que la taille globale de la main-d’œuvre est restée stable à 5,8 millions.
Encore plus troublant que le nombre de pénuries de personnel, 90% des personnes interrogées ont déclaré qu’il y avait des pénuries de compétences dans leurs organisations, avec deux tiers (64%) considérant ces pénuries comme plus graves que les pénuries de personnel avec lesquelles ils sont confrontés.
«Il ne s’agit pas seulement des personnes disponibles sur le marché. Il s’agit des compétences, et je pense que c’est là que l’objectif doit être: obtenir les bons ensembles de compétences dans les bons rôles d’emploi», a déclaré Jon France, CISO à ISC2.
L’écart de cyber-compétences a augmenté de 8%, avec deux organisations sur trois signalant des lacunes de compétences modérées à critiques, selon les perspectives mondiales de cybersécurité du Forum économique mondial.
Ce double coup dur rend les organisations plus vulnérables aux organisations d’attaque et rend les organisations moins équipées pour répondre aux violations.
Ce que vous pouvez faire: Voici où l’IA peut aider. Les organisations peuvent tirer parti de l’IA pour automatiser et optimiser les processus manuels. La réduction des employés existants est vital. Et le recrutement de l’intérieur de l’organisation est une autre tactique qui peut verser des dividendes.
Le mauvais acteur complotant une attaque pourrait être assis juste à côté de vous
Il s’agit d’une autre pilule difficile à avaler, mais des attaques d’initiés, soit des employés qui volent des données à vendre à des fins lucratives, soit des employés mécontents qui tentent de faire du mal, sont en augmentation. Lorsque les pros de sécurité élaborent des stratégies sur la façon de garder une longueur d’avance sur les cybercriminels, l’image qui me vient généralement à l’esprit est quelqu’un du Kazakhstan, pas quelqu’un dans la prochaine cabine.
Mais, selon une enquête de Gurucul, 60% ou des organisations ont signalé des attaques d’initiés en 2023, et ce nombre est passé à 83% en 2024. Le rapport sur le coût Ponemon des risques d’initié en 2025 montre le coût d’une attaque d’initié passant à 17,4 millions de dollars, contre 16,2 millions de dollars en 2023.
Que pouvez-vous faire: Voici un autre domaine où l’IA peut être utilisé à bon escient. L’IA et les systèmes d’apprentissage automatique peuvent mener des activités de chasse aux menaces et peuvent analyser le comportement humain afin d’essayer de repérer l’activité suspecte pour prévenir les attaques d’initiés de manière préventive.
L’épuisement professionnel reste un problème important
Gartner résume de cette façon: «Le paysage des menaces et technologiques en constante évolution, l’augmentation de la demande commerciale et les exigences réglementaires, associées à la pénurie de talents endémiques, génère une tempête parfaite. En conséquence, l’industrie de la sécurité connaît une crise de santé mentale en tant que sécurité de sécurité et de gestion des risques et leurs équipes connaissent des niveaux croissants de combinaison.»
L’analyste de Gartner Deepti Gopal ajoute: «Les professionnels de la cybersécurité sont confrontés à des niveaux de stress non durables. Les CISO sont sur la défense, avec les seuls résultats possibles qu’ils ne sont pas piratés ou qu’ils le font. L’impact psychologique de cela affecte directement la qualité de la décision et la performance des chefs de file de la cybersécurité et de leurs équipes.»
Le cercle vicieux commence par un service de sécurité en sous-effectif où les praticiens sont tenus de travailler de longues heures. La fatigue exacerbe le stress préexistant associé au travail, ce qui conduit à l’épuisement professionnel.
Les implications peuvent être désastreuses; Les travailleurs brûlés peuvent sauter des tâches de routine comme l’installation de patchs ou ignorer les alertes (fatigue d’alerte), entraînant plus de violations. En fait, 39% des dirigeants informatiques craignent un incident majeur en raison du personnel surchargé, selon une récente enquête d’Adaptiviste.
Ce que tu peux faire: Les experts recommandent une approche à plusieurs volets qui comprend la tentative de réduction de la surcharge cognitive en simplifiant et rationalisant les processus, en automatisant la plupart du travail que possible, et en s’assurant de fournir une formation et une augmentation adéquates et fréquentes.
De plus, les RH devraient être impliquées dans la formation en gestion du stress, les programmes de renforcement de la résilience, les arrangements de travail flexibles, les programmes de désintoxication numérique et d’autres tactiques conçues pour lutter contre l’épuisement professionnel.
Gartner prédit qu’en 2027, les CISO investissent dans la programmation de résilience personnelle spécifique à la cybersécurité verront 50% moins d’attrition liée à l’épuisement professionnel que les pairs qui ne le font pas.
