S’attaquer à la douleur psychique subie par les membres de l’équipe de cybersécurité lors d’incidents majeurs est crucial pour les dirigeants de la sécurité. Les experts recommandent plusieurs mesures qui peuvent réduire la tension psychologique.
Les professionnels de la cybersécurité sont confrontés à des défis importants en matière de santé mentale de leur travail, et il n’est pas surprenant pourquoi. Ils sont chargés de maintenir la sécurité numérique de leurs organisations en protégeant les opérations critiques contre les intrusions, en corrigeant les vulnérabilités, en détectant les menaces, en arrêtant les adversaires et en remettant des incidents, souvent sous pression intense, budgets serrés et délais de crise.
Une étude de 2022 par des dents met en évidence le bilan de ces demandes: 66% des membres de l’équipe de sécurité ont déclaré avoir subi du stress au travail, 22% décrivant leurs niveaux de stress comme graves. Les conséquences sont claires: près des deux tiers (64%) des répondants ont admis que leur santé mentale affecte leur performance au travail, tandis qu’un pourcentage égal a déclaré que leur travail a un impact négatif sur leur bien-être mental.
Les travailleurs de la cybersécurité sont confrontés à la pression la plus intense lors d’un incident de cybersécurité important, en particulier lorsque leurs réserves émotionnelles peuvent déjà être faibles de traiter les facteurs de stress de routine.
Les experts affirment que le traumatisme des cyber-incidents peut réduire les performances financières grâce à une diminution du moral et à une attrition accrue. Ils conseillent aux CISO de plaider pour des programmes d’assistance plus profonds des employés destinés aux cyber-travailleurs, ce qui nécessite de vendre des services RH réticents à ces initiatives.
Ils recommandent également de préparer des travailleurs à des crises avant leur occurrence. Enfin, les experts disent qu’il est essentiel pour les CISO de partager les préoccupations pour le bien-être émotionnel de leurs travailleurs dans leurs organisations.
L’impact émotionnel des cyber-incidents
Le chaos et la pression du traitement d’une attaque de ransomware ou d’un autre incident majeur de cybersécurité peuvent créer des traumatismes psychologiques pour les travailleurs de la cybersécurité et même répartir les émotions stressantes dans toute l’organisation.
«Nous voyons un traumatisme», dit-il. «Nous voyons certainement des impacts sur le sommeil et même la vie familiale. Vous voyez des problèmes avec le syndrome d’imposter et les questions d’auto-efficacité qui l’entourent. Et souvent après une violation majeure, nous voyons des démissions parce qu’ils ne veulent plus jamais rencontrer une situation comme ça. »
La nature axée sur la mission de la cybersécurité aggrave le traumatisme. «Les cyber-équipes sont parfaitement conscientes des conséquences de l’échec, et elles sont également très sensibles à cette mission primordiale qu’elles portent et ont une philosophie très forte pour être un protecteur et un défenseur», explique Coroneos.
Le péage physique et psychologique provient de l’appareil de réponse du système limbique du cerveau, qui a évolué pour faire face aux réponses de vol ou de combat. Dans les bonnes conditions, ce mécanisme de protection intégré peut permettre aux travailleurs de rester coincés en traumatisme longtemps après la fin des cyber-incidents.
«Vous obtenez l’hypervigilance immédiate et la peur et les réponses émotionnelles à la situation, ce qui augmente votre fréquence cardiaque», explique Coroneos. «Les niveaux de cortisol augmentent. Tout est allumé. Mais malheureusement, et en particulier dans une situation de violation, si vous ne savez pas que vous gagnez, si vous ne pouvez pas nécessairement voir des signes visibles d’avoir fait sortir l’attaquant du système, ou si vous avez peur qu’ils puissent Soyez toujours là malgré ce que vous avez fait, alors il est tout à fait naturel que ce système neurologique reste enfermé. »
Cet état de vigilance en cours peut créer des symptômes du SSPT qui sont difficiles à déloger, selon Coroneos. «Nous avons travaillé avec des organisations où (les travailleurs) ont des cauchemars récurrents, même dix-huit mois après une violation», dit-il.
Les cisos font face à des pressions singulières
Les retombées d’un cyber-incident pourraient affecter le bien-être de la CISO, étant donné les pressions singulières auxquelles ces chefs de sécurité sont confrontés. Il a même été démontré que le stress impliqué entraîne une dépression accrue et même la toxicomanie parmi les CISO. Selon une enquête, la possibilité que les dirigeants de la cybersécurité puissent être confrontés à une responsabilité personnelle pour leurs actions professionnelles, un fait qui a aigri 70% des CISO sur leur rôle, selon une enquête.
«En raison de l’incident que j’ai vécu et de mon expérience générale, j’ai parlé à beaucoup de leaders de la sécurité lorsqu’ils sont dans des situations de crise», explique Sullivan. (Sullivan, un ancien procureur fédéral, a été accusé d’obstruction à la justice pour sa gestion des violations de données à Uber en 2016 et a finalement été condamné à trois ans de probation – considéré par beaucoup comme un «moment du bassin versant» pour les risques de responsabilité des CISO. )
«Ce que je leur dis toujours, c’est que votre organisation et vous allez être jugés autant sur la façon dont vous gérez les crises que vous serez jugé sur la façon dont vous avez travaillé sur la prévention. En fait, peut-être même plus », a-t-il Syas.
Les CISO qui quittent les organisations après les violations éprouvent souvent un profond sentiment de soulagement, comme un lourd fardeau en a été retiré. «Et c’est pourquoi vous voyez plus de gens sortir de ces rôles plus tôt dans leur carrière que je ne le souhaite», explique Sullivan. Une récente enquête a révélé que 24% des CISO examinent activement la sortie.
Hamilton pense que le blâme accordé contre les CISO pour les violations a diminué au cours des dernières années. «Avant même l’année dernière ou deux, le CISO aurait peur de perdre son emploi», dit Hamilton, ou pire, a poursuivi la façon dont ils ont géré les situations. Mais « cela change maintenant parce que le chef de la sécurité de l’information commence maintenant à parler dans la langue des affaires, et ils ne sont plus un bouc émissaire ou une case à cocher. »
Les problèmes de santé mentale non traités augmentent les coûts organisationnels
L’éventail des coûts directs et indirects pour l’organisation fait que les dommages psychologiques de la cybersécurité manquent à des fins finales de l’entreprise.
«Avec certaines des organisations avec lesquelles nous avons travaillé, les impacts ont été ressentis à l’échelle de l’organisation, tout au long du personnel des centres d’appels qui peuvent même obtenir des menaces de mort de clients mécontents», a déclaré Coroneos. « Ensuite, vous avez le régulateur frappe à votre porte, vous obtenez donc cet effet d’entraînement massif des forces en interaction. »
Parmi les impacts organisationnels, il y a une perte de moral après des cyber-incidents. Le psychologue Richard Miller, qui a développé un protocole pour Cybermindz sur la base d’un programme qu’il a conçu pour l’armée américaine, dit que dans une situation d’attaque, « si une personne tombe, cela diminuera le moral parmi tous les membres de l’équipe. »
La diminution du moral, de l’épuisement professionnel et du SSPT provoquent l’attrition des travailleurs de la cybersécurité, ce qui peut coûter cher aux organisations lors du recrutement du personnel de remplacement. «Pour le mettre en termes financiers, même si ce n’est pas notre objectif principal, remplacer les gens coûte cher», explique Coroneos. «Si vous ne soutenez pas vos travailleurs et que vous vous retrouvez avec un certain nombre d’entre eux démissiant après une violation, il aura un coût financier tangible sur l’organisation.»
Et cette perte de personnel pourrait devenir un problème chronique. «Cela provoque potentiellement un changement dans l’attractivité de la cybersécurité en tant que carrière», explique Coroneos. «Nous craignons que les jeunes n’entrent pas dans la profession parce qu’ils voient la gravité des violations et les impacts, et cela peut également être dissuasif.»
Aller au-delà de la pleine conscience pour renforcer la résilience
Bien que certaines organisations tentent de résoudre les problèmes globaux de santé mentale des travailleurs grâce à la pleine conscience et à d’autres programmes, les experts disent qu’ils doivent creuser plus profondément pour résoudre les problèmes uniques auxquels sont confrontés le personnel de la cybersécurité.
«La pleine conscience est une pratique merveilleuse», explique Miller. «Nous travaillons à un niveau très profond avec non seulement comment non seulement diminuer votre stress grâce à des interventions de pleine conscience comme la respiration, la détection du corps, la réduction du stress, mais aussi donner des compétences pour gérer une émotion ou un jugement ou des circonstances difficiles et stimulants et comment pour construire une ressource intérieure de bien-être indestructible. »
Les CISO doivent penser à construire ce type de réservoirs de résilience émotionnelle parmi les membres de leur équipe bien avant toute crise réelle. «Il y a un adage de l’armée que plus vous forez, mieux vous vous comportez dans la vraie vie», explique Sullivan. «Et c’est clairement le cas dans un incident de cybersécurité aussi. Plus nous obtenons de répétition, plus nous avons de mémoire musculaire et plus nous avons de coordination parmi toutes les parties disparates. Nous devons investir beaucoup plus dans la préparation de la crise, car si nous nous préparons bien, nous émergerons beaucoup plus avec succès. »
Normaliser les crises pour réduire les chocs
La normalisation des crises pourrait aider à réduire le choc émotionnel d’un mauvais incident de cybersécurité. «J’ai reçu ce très bon conseil du COO d’Ebay quand je travaillais là-bas», explique Sullivan. « Il a dit: » Si votre travail consiste à répondre aux situations de crise, vous devez construire une organisation qui le considère comme leur travail, et non comme une crise. » En bref, si votre travail consiste à éteindre les incendies, construisez un service d’incendie. Les pompiers se réveillent tous les jours et ils savent quel est leur travail. Ils ne stressent pas. Ils entrent dans des situations à haut risque, mais ils sont préparés et formés, travaillent dans des quarts de travail et ont le bon équipement. Ils sont construits pour répondre aux incendies. Nous devons construire nos organisations de sécurité pour répondre aux incendies. »
Ian Campbell, ingénieur des opérations de sécurité chez Domaintools, a passé 10 ans en tant que répartiteur d’intervention d’urgence. Il étend la métaphore du service des pompiers pour souligner l’importance de ne pas permettre aux membres de l’équipe de mettre leurs émotions en bouteille après un incident. Campbell a observé que le service de police «était vraiment», c’est ce qui se passe, le faire, passer à la suivante. »»
Le service d’incendie, en revanche, «avait des structures à l’avance qui étaient beaucoup plus saines pour les gens pour traiter les incidents», avec de nombreuses discussions pré et post-incident sur la façon dont les pompiers se sentaient, dit Campbell. «Ce que j’ai réalisé pendant dix ans, c’est que« maintenez-le pour vous », c’est une attitude nuisible. La mise en place de programmes comme (le programme du service des incendies) à l’avance est crucial. »
L’importance d’obtenir des RH à bord
Bien que la plupart des CISO conviennent facilement que leurs organisations bénéficieraient de programmes pour aider leurs équipes à gérer le traumatisme des incidents de cybersécurité, le financement de ces initiatives des départements des ressources humaines, qui contrôlent généralement les chaînes de bourse pour les programmes d’aide aux employés, est souvent un obstacle.
«Nous avons constaté que les RH ne comprennent pas», explique Miller. «Ils pensent que les cyber-travailleurs sont similaires aux autres travailleurs de leurs industries, et ce n’est tout simplement pas le cas.»
Hamilton recommande aux CISO de faire pression sur les services RH pour le financement en mettant en évidence les coûts de chiffre d’affaires du stress et de l’épuisement professionnel. «Le taux d’épuisement professionnel est astronomique pour ce travail», dit-il. «Donc, ce serait probablement la proposition de valeur à donner aux RH. Il s’agit de rétention.
Sullivan pense qu’une manœuvre utile est que les CISO partagent leurs charges à travers l’organisation. «Les dirigeants de la sécurité prennent tout le poids de la sécurité de leur organisation sur leurs épaules lorsque la réalité est que ce n’est pas le leader de la sécurité qui décide dans le vide. Quelle est la taille de notre budget de sécurité en tant qu’organisation? Quelle est notre priorité au risque en tant qu’organisation? Comment communiquer sur les incidents de sécurité en tant qu’organisation? Le chef de la sécurité ne possède aucune de ces choses. »
«Nous avons tendance dans la bonne direction, mais les progrès que nous avons réalisés sont une réflexion sur l’effort des chefs de sécurité en place en ce moment», explique Sullivan. Mais, «la plupart des PDG, les chefs juridiques, les chefs de communication, les chefs d’entreprise en général, ont des centaines de stress qui leur donnent de l’anxiété chaque jour. À moins que le chef de la sécurité ne se lève, ne lève la main et ne dit, voici un niveau d’anxiété aux entreprises que nous devons tous aborder ensemble, le reste des dirigeants ne devrait pas s’attendre à sauter directement. »
