Stressed, tired and frustrated business man with headache at night from burnout or making mistake on laptop. Overworked creative entrepreneur failing to meet late office deadline or working overtime

Comment les RSSI peuvent bâtir une main-d’œuvre résiliente

Lucas Morel

La résilience est devenue le principe organisateur de la posture de cybersécurité de nombreuses organisations, mais qu’en est-il de la résilience des cyber-employés ?

Avec les déficits de compétences persistants, la refonte des rôles par l’IA et le stress du personnel qui sont des préoccupations constantes pour de nombreux RSSI, garantir la résilience du personnel est devenu une priorité. Mais en raison des contraintes budgétaires, des mandats de retour au bureau et des équipes qui peinent à suivre le paysage des menaces, les RSSI sont confrontés à un véritable défi.

Stephen Ford, vice-président et RSSI chez Rockwell Automation, sait à quoi sont confrontés de nombreux RSSI : il est souvent difficile de trouver les ressources adéquatement qualifiées pour fournir un programme et des capacités de cybersécurité solides. « La durabilité de la main-d’œuvre est donc une considération importante », déclare Ford.

La résilience de la main-d’œuvre nécessite une planification fondée sur des données, la gestion de l’éventail de compétences et la prise en charge de l’équipe comme autre élément de gestion des risques.

Comment les RSSI abordent la planification des effectifs

Parce que la nature du travail de cybersécurité est imprévisible, Ford surveille activement son équipe pour avoir une idée de la façon dont elle gère. « Il y a beaucoup de travail de projet, mais il y a aussi beaucoup de travail en réaction aux événements et selon le nombre d’événements ou de problèmes que nous rencontrons, nous pourrions facilement submerger l’équipe », dit-il.

Cette préoccupation est bien fondée, l’étude ISC2 2025 sur la cybersécurité sur les effectifs révélant que 47 % des participants déclarent se sentir dépassés par la charge de travail qu’ils sont censés supporter.

Jon France, RSSI ISC2, convient que la durabilité de la main-d’œuvre – gestion du stress, de l’épuisement professionnel et de la charge de travail – est une préoccupation permanente et non une question secondaire.

« Prendre soin de l’équipe et la valoriser sans la tuer est également à notre ordre du jour », déclare France.

Ford a développé des stratégies non seulement pour recruter des talents, mais aussi pour maintenir leurs intérêts et les aider à traverser les flux et reflux de la vie quotidienne en matière de cybersécurité. «Je me concentre sur la surveillance de la main-d’œuvre et j’essaie d’avoir une bonne idée des charges de travail qui arrivent.»

Il est important de disposer d’une équipe dotée d’un personnel adéquat et c’est là que les données sont utiles pour évaluer la charge de travail et argumenter en faveur du financement. « Il peut parfois être un peu difficile de s’y retrouver, mais les bons processus et la capacité de mesurer le travail aident à calculer la charge de travail attendue et à déterminer un niveau de ressources acceptable pour soutenir cette charge de travail », explique Ford.

Le défi de quantifier la charge de travail et de justifier les décisions en matière de ressources est monnaie courante. Selon l’étude ISC2, seuls 55 % des personnes interrogées estiment que leur organisation dispose des ressources nécessaires pour gérer de manière adéquate les incidents de sécurité au cours des deux à trois prochaines années.

L’épuisement professionnel mène à l’insatisfaction au travail

L’épuisement professionnel est une préoccupation constante pour de nombreux RSSI et leurs équipes, en particulier lorsque des événements imprévisibles peuvent déclencher des pics de charge de travail. L’épuisement professionnel peut rapidement dégénérer. «C’est quelque chose qui peut rapidement nous submerger», explique Ford.

Les enquêtes sectorielles continuent de pointer au rouge sur l’épuisement professionnel persistant qui conduit à l’insatisfaction au travail. L’étude ISC2 a révélé que près de la moitié des personnes interrogées (48 %) déclarent se sentir épuisées à essayer de se tenir au courant des dernières menaces et des technologies émergentes.

Ford aborde la question à la fois comme une question de leadership et de modèle opérationnel, en restant en contact avec les charges de travail de l’équipe et en disposant d’un vivier durable de talents pour éviter de les submerger d’attrition. «J’essaie d’embaucher de bonnes personnes, de leur donner les moyens de fonctionner et de déléguer autant que je peux.»

Bien qu’il soit difficile d’éliminer complètement ces problèmes, utiliser les données pour éclairer les niveaux de personnel, tenter d’équilibrer les charges de travail autant que possible et prêter attention à la culture qui entoure l’équipe font partie des stratégies de Ford.

« Nous passons du temps à constituer de bonnes équipes et nous devons consacrer du temps à comprendre les défis, la charge de travail et ce qu’ils pensent du travail. »

L’IA comme multiplicateur de force, pas comme stratégie d’effectifs

Les outils et la technologie ont toujours remodelé les rôles, et ce n’est pas différent avec l’IA. Cette fois, c’est l’ampleur et la rapidité de l’adoption, la peur, l’incertitude et le doute sur ce que cela signifie pour les postes de débutant.

Plus des deux tiers (69 %) des personnes interrogées sont sur la voie d’une utilisation régulière de l’IA, indique ISC2, ce qui comprend l’évaluation, le test et l’intégration de ces outils dans leurs opérations.

Chez l’éditeur de logiciels Kantata, on observe une évolution vers un modèle de main-d’œuvre augmenté par l’IA qui donne la priorité à l’automatisation des tâches à volume élevé et à l’intégration de copilotes IA pour agir comme un multiplicateur de force pour les membres de l’équipe. Cela inclut les zones à forte friction comme le TPRM, les évaluations de sécurité telles que les réponses aux RFP/RFI et la surveillance des menaces pour réduire considérablement le bruit opérationnel.

« En automatisant la première phase d’ingestion de données et de tri des alertes, nos équipes peuvent se concentrer sur des incidents haute fidélité et sur la prise de décision stratégique plutôt que sur des tâches manuelles répétitives », explique Taison Kearney, RSSI et DPO de Kantata.

Pour s’assurer que cela n’augmente pas simplement la charge de travail, ils réinvestissent le temps gagné dans le perfectionnement formel des compétences, garantissant ainsi que les gains d’efficacité soutiennent la longévité de l’équipe et la croissance professionnelle. Kearney estime que l’automatisation combinée au perfectionnement des compétences contribue à réduire l’épuisement professionnel et permet à l’expertise interne de s’adapter au paysage des menaces. « Cela garantit notre pérennité à long terme en préservant les connaissances institutionnelles et en offrant à nos talents un cheminement de carrière clair et à forte croissance. »

La France voit l’IA changer le travail d’entrée de gamme sans pour autant l’effacer. Citant l’exemple des analystes SOC, il affirme que cela ne remplacera pas l’humain dans la boucle. « Mais cela leur permettra de prendre une décision plus rapidement, ou au moins d’avoir une idée plus précise de ce qui se passe. »

Il reconnaît les craintes de perdre des expériences fondamentales, mais il pense que nous avons vécu cela avec d’autres révolutions techniques. « Je pense que cela modifiera certains rôles, mais ne les remplacera finalement pas. À cela s’ajoute un gain d’efficacité », estime la France.

Kearney pense que l’IA comprime l’échelle de carrière en automatisant les tâches répétitives de niveau 1 qui servaient traditionnellement d’apprentissage de niveau d’entrée. Par conséquent, les rôles subalternes passent du triage manuel à la résolution de problèmes plus complexes, pour le bénéfice des employés et des organisations.

«Cela oblige les nouvelles recrues à posséder des compétences architecturales et stratégiques beaucoup plus tôt dans leur carrière, ce qui pourrait éventuellement conduire à une plus grande dépendance aux capacités de l’IA pour réussir», explique Kearney.

Le personnel a consacré du temps à la formation, et l’objectif est que l’équipe développe des connaissances architecturales approfondies avec une expertise « humaine dans la boucle » qui est de plus en plus requise pour une défense complexe. « Cette approche transforme « l’envie d’apprendre » en un cheminement de carrière clair qui valorise les connaissances institutionnelles et l’évolution professionnelle continue », explique Kearney.

Construire l’équipe cyber dans un contexte de pénurie de compétences

La gestion de la charge de travail est une préoccupation quotidienne, mais à ce défi s’ajoute la tâche de constituer la bonne cyber-équipe, en recourant au recrutement et au développement du personnel existant. Pourtant, ce n’est en aucun cas une tâche simple : près des deux tiers des personnes interrogées dans l’enquête ISC2 ont identifié des pénuries de compétences critiques ou importantes au sein de leurs équipes, soulignant que le défi réside à la fois dans le personnel et dans les capacités.

Ford reconnaît qu’il est difficile de trouver des talents de haut niveau dans toutes les différentes disciplines de la cybersécurité, en particulier pour une grande organisation comme Rockwell. Sa stratégie consiste à faire appel à un ou deux experts clés dans différentes disciplines possédant des années d’expérience, ainsi qu’à recruter des personnes plus jeunes et en début de carrière. « Les associer à des experts chevronnés vous permet de constituer une équipe efficace et durable au fil du temps, et j’ai constaté que cela fonctionne extrêmement bien pour les organisations proposant des programmes de début de carrière.

Il recherche également des experts de disciplines adjacentes telles que les infrastructures, l’espace des centres de données ou le développement d’applications désireux de percer dans le cyber. « Je ne recrute pas pour tout le monde. Je recrute quelques experts de haut niveau, puis je construis un pipeline soit en début de carrière, soit par d’autres activités similaires dans le domaine technologique pour constituer une cyber-équipe efficace », dit-il.

Rockwell propose des programmes universitaires de stages et de début de carrière et des relations solides avec les universités locales pour attirer les premiers talents et les intégrer à ses projets dans l’espoir d’en retenir certains pour un emploi à temps plein.

Les personnes en début de carrière ne comprennent pas toujours pleinement les différentes disciplines et activités que l’on peut exercer en matière de cybersécurité et Ford affirme qu’elles s’efforcent de les aider à apprendre et à s’intéresser à la cybersécurité. « Vous vous retrouvez avec quelqu’un qui s’est engagé au fil du temps et un employé très solide et vous pouvez commencer à envisager de constituer un bassin pour des postes de niveau supérieur. »

Alors que d’autres organisations pourraient chercher à combler leurs lacunes en faisant appel à des prestataires externes tels que des prestataires de services gérés, Ford a déclaré que Rockwell préférerait cultiver le talent et l’expertise en interne. Il estime que cela aide le personnel à acquérir une compréhension des connaissances essentielles sur l’organisation et ses opérations, plutôt que de voir ce précieux « leadership éclairé » rester à l’extérieur du bâtiment.

Les responsables du recrutement et les professionnels de la cybersécurité sont étroitement alignés, l’étude montrant que la résolution de problèmes, la collaboration, la communication, la volonté d’apprendre et la réflexion stratégique sont les principales compétences non techniques des deux groupes.

La France élargit ce qu’est un « bon talent en sécurité », en mettant l’accent sur les compétences en communication, la pensée critique et la curiosité en plus des compétences techniques de base. En abordant les choses de cette façon, il existe un vivier de talents plus large dans lequel puiser. « Vous n’avez pas besoin d’avoir une formation technique, vous pouvez venir d’industries adjacentes et apporter ces expériences. »

Comment les RSSI peuvent gérer la planification des effectifs

1. Cuisiner dans la durabilité humaine

  • Traitez le stress et l’épuisement professionnel comme n’importe quel autre indicateur de risque.
  • Concevez des rotations, des politiques de garde et du personnel pour gérer les charges de travail.

2. Utilisez l’IA pour repenser les rôles, pas pour les effacer

  • Pour les postes de niveau débutant, déplacez les tâches de :

– Triage manuel → Triage et enquête assistés par l’IA.

– Travail de base pur → jugement, escalade et interprétation.

  • Maintenir l’humain au courant des descriptions de poste et de la conception des processus.

3. Protéger l’apprentissage de base dans un environnement automatisé

  • Planifiez des parcours de compétences structurés : simulations, laboratoires, exercices rouge/bleu pour que les juniors apprennent toujours ce que l’IA automatise.
  • Associez des juniors à des analystes senior pour améliorer leurs compétences et expliquer pourquoi les outils prennent des décisions.

4. Planifiez la mixité des compétences, pas seulement les effectifs

  • Recrutez intentionnellement pour la communication, la pensée critique, la curiosité, et pas seulement pour les certifications techniques.
  • Cartographiez votre équipe en fonction de ses besoins en matière de profondeur technique et de communication sur les risques commerciaux.

5. Traitez la culture comme faisant partie de la résilience

  • Déléguez, gérez le pipeline de personnel et faites attention à la charge de travail et à la culture de l’équipe.
  • Encouragez les dirigeants à se connecter aux réseaux de pairs pour le partage d’informations et le soutien émotionnel, en reconnaissant que l’épuisement professionnel des RSSI est un risque systémique.
Expérience employéGestion informatique

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

shutterstock 2416896949 The Black Sheep In The Herd Of White Sheep insider threat security cybersecurity vulnerability
Un scanner de vulnérabilité Trivy détourné par un voleur d’informations d’identification lors d’une attaque de la chaîne d’approvisionnement
Cyber Insurance Re-Upload 2
Les nations sont-elles prêtes à être les assureurs de cybersécurité en dernier ressort ?
shutterstock 434035804 water flowing from a silver outdoor tap amid green fields and green trees
Les services des eaux renforcent la cybersécurité grâce à la coopération