Le travail d’un responsable de la sécurité ne consiste pas seulement à gérer les cyber-risques. Protéger le personnel contre l’épuisement professionnel, défendre la valeur commerciale du cyberespace et favoriser l’évolution de carrière sont tout aussi essentiels à la construction d’une organisation résiliente et durable.
C’est un refrain familier : trop de travail et pas assez de rémunération et de reconnaissance. Pourtant, si les RSSI ont vu leur rôle gagner en importance et en responsabilité, on ne peut pas en dire autant des responsables fonctionnels de la sécurité à qui on demande d’en faire plus, mais qui n’en récoltent pas les fruits.
Sans surprise, cela entraîne une insatisfaction accrue face à l’évolution de carrière et une plus grande volonté de quitter l’emploi. Pour les RSSI, cela présente un risque important : si les responsables de la sécurité de niveau intermédiaire se sentent surchargés et sous-reconnus, les effets d’entraînement peuvent miner la résilience, la continuité et l’innovation. À l’heure où les cyberattaques deviennent de plus en plus sophistiquées et difficiles à résoudre, les RSSI ne peuvent pas risquer la défection de leurs dirigeants fonctionnels.
« On attend de plus en plus des cyber-leaders fonctionnels, car on leur demande non seulement de protéger les systèmes, mais également d’obtenir des résultats commerciaux, tout en gérant les nouvelles exigences réglementaires, les piles technologiques complexes et les ressources limitées », déclare Carole Lee Hobson, RSSI de PayNearMe.
Cela inclut une surface d’attaque étendue avec le cloud, le SaaS et l’IA, laissant les cyber-responsables fonctionnels responsables des risques liés à leurs dépendances tierces qu’ils ne peuvent pas entièrement contrôler, note Hobson. « Combinez cela avec la nature du travail 24h/24 et 7j/7 et les environnements de travail hybrides, et il n’est pas surprenant que l’épuisement professionnel s’intensifie. »
Quelque 66 % des professionnels de la cybersécurité déclarent que leur rôle est plus stressant aujourd’hui qu’il y a cinq ans, et 63 % d’entre eux citent le paysage complexe des menaces comme leur principal facteur de stress, selon le dernier rapport sur l’état de la cybersécurité de l’ISACA. En outre, plus de la moitié (55 %) des équipes de cybersécurité manquent de personnel et 65 % ont des postes de cybersécurité non pourvus, selon l’enquête.
Les problèmes systémiques persistent
La tendance à voir des responsables de la sécurité fonctionnelle talentueux et dévoués envisager tranquillement de se retirer n’est pas une anomalie : c’est le résultat prévisible de problèmes systémiques qui se sont développés au sein de la profession depuis des années, déclare Brandyn Fisher, responsable des capacités V-CISO chez Centric Consulting.
« En tant que RSSI, nous constatons l’épuisement professionnel de notre niveau de gestion le plus critique, à savoir nos directeurs et nos cadres supérieurs, » déclare Fisher. « Cela ne se produit pas en vase clos. C’est le résultat d’une convergence dangereuse d’attentes irréalistes, de pénurie de ressources et d’un modèle de carrière fondamentalement brisé.
Les responsables de la sécurité fonctionnent sur un principe non viable, dit Fisher. « Nous attendons de nos dirigeants qu’ils aient raison à chaque fois, alors qu’un attaquant n’a besoin d’avoir raison qu’une seule fois. Cela crée une culture d’hypervigilance qui n’est tout simplement pas durable 24 heures sur 24, 7 jours sur 7 et 365 jours par an. »
Les équipes sont censées être disponibles pendant les jours fériés et les week-ends, souvent sans rémunération correspondante, et comme un incident majeur peut nécessiter une intervention dans un délai de quatre à six semaines, la vie personnelle est mise en suspens, note-t-il.
Monika Malik, ingénieure logicielle principale en données/IA chez AT&T, n’explique pas pourquoi les dirigeants fonctionnels pourraient chercher à faire défection. Trop souvent, ils sont tenus responsables des projets, mais ne disposent pas de l’autonomie nécessaire pour prendre des décisions en matière de feuille de route, de personnel et de budget, dit-elle.
« Les responsables de la sécurité souffrent d’épuisement professionnel lorsqu’ils assument le risque et n’ont pas de feuille de route », explique Malik. À cela s’ajoute un stress chronique et « une panique en cas de violation, une fatigue des téléavertisseurs et des incendies de bennes à ordures consécutifs à une brèche, (qui) conduisent à un épuisement professionnel plus rapide que ce que l’indemnisation peut atténuer », explique Malik.
Fisher est d’accord : « Cette immense pression est aggravée par un manque de contrôle. Un responsable de la sécurité est souvent le bouc émissaire des échecs provenant d’ailleurs dans l’organisation : un simple lien cliqué par un utilisateur, une vulnérabilité poussée par une équipe de développement ou une mauvaise décision d’un cadre supérieur. »
Les responsables fonctionnels de la sécurité sont tenus responsables de la défense contre les menaces dans des environnements où ils ont une visibilité limitée, dit-il. Cela signifie qu’ils « mènent une guerre invisible au nom de parties prenantes qui, souvent, n’en comprennent pas les enjeux ».
Un autre problème est la dérive des outils, avec plus de 40 outils de sécurité gérant les mêmes alertes et de mauvaises intégrations, explique Malik. Il existe également une « surcharge de rôles et un changement de contexte » sur les projets, ainsi que des cycles d’audit, d’examens et de réunions incessants, qui, selon Malik, laissent peu de temps pour le développement de carrière. « De nombreuses organisations disposent d’un RSSI et d’un échelon de « responsables de X » » qui n’ont pas toujours de plan clair pour accéder aux niveaux supérieurs, dit-elle.
Et les RSSI demandent constamment à leurs dirigeants de faire plus avec moins, ajoute Fisher. « Comme la cybersécurité est encore largement considérée comme un centre de coûts plutôt que comme un outil commercial, les budgets sont les premiers à être réduits tandis que le paysage des menaces croît de façon exponentielle », dit-il. « Cela place les managers dans la position impossible d’être responsables de l’atténuation des risques au niveau de l’entreprise sans le financement nécessaire pour les outils ou les talents. »
Ce que les RSSI peuvent et doivent faire
La situation n’est pas désespérée ; Il existe des mesures que les RSSI peuvent et doivent prendre pour éviter les défections. Il s’agit de faire du personnel une priorité. Hobson de PayNearMe affirme que les RSSI doivent se demander si les responsables de la sécurité fonctionnelle portent trop de chapeaux avec trop peu d’opportunités d’avancement, et s’ils en font suffisamment pour les nourrir et les retenir.
« Les DSI devraient se poser des questions difficiles sur les filières de leadership, la planification de la succession et la dynamique culturelle au sein de leurs équipes de sécurité », dit-elle. « Si nous voulons construire un leadership durable en matière de sécurité, nous devons comprendre – et aborder – pourquoi tant de personnes envisagent de partir. »
Selon Malik, la rétention doit être considérée comme un programme qui nécessite des itérations supplémentaires du modèle opérationnel, plutôt que comme quelque chose de statique. Elle suggère aux RSSI de mettre en œuvre un outil de gestion de projet responsable, responsable, consulté et informé (RACI) et de donner aux responsables de la sécurité fonctionnelle l’autorité sur leurs systèmes.
Ils devraient également bénéficier de parcours de carrière comprenant des rubriques de promotions et « un parrainage – et non un mentorat – au niveau de la direction, avec une visibilité et des opportunités de participation au conseil d’administration », explique Malik.
Une partie de la rémunération devrait être liée aux contributions aux risques, par exemple aux statistiques sur le temps de mise à jour des correctifs, plutôt qu’aux facteurs d’échec/succès de l’audit, ajoute-t-elle. Il doit également y avoir un « bon sens des outils et de la télémétrie », ce qui obligerait les RSSI à consolider les fournisseurs et à mettre en œuvre un « kill-switch trimestriel : si votre outil ne réduit pas le MTTR/faux positifs par date et par objectifs de l’outil… retirez ou réévaluez l’outil selon les pires attentes ».
Fisher, de Centric Consulting, estime que le succès doit être suivi par la prévention des temps d’arrêt et la protection du système, plutôt que par la réaction à un incident. Dans l’une des entreprises où il travaillait, lorsque l’équipe de sécurité a commencé à publier des données sur la réduction des risques sur ses tableaux de bord, l’engagement a augmenté et le chiffre d’affaires a diminué.
« Cela a augmenté la visibilité du travail, ce qui a renouvelé la motivation au sein des équipes », dit-il, ajoutant qu’il n’est pas fréquent que les professionnels de la sécurité partent sous la pression. « Ils abandonnent en raison de la disparition de leurs résultats derrière l’absence de crise ». Ils se sentiraient plus susceptibles de s’investir si la prévention était utilisée comme mesure, dit Fisher, « et si la sécurité était un aspect de croissance quantifiable plutôt qu’un rôle de fond tacite ».
Le rôle de RSSI est-il quelque chose auquel aspirer ?
Demander aux dirigeants fonctionnels d’en faire plus « est le reflet direct de la propre lutte d’influence du RSSI », observe Fisher. Lorsqu’un RSSI siège sous la direction d’un CIO ou d’un COO peu réceptif et n’a pas de siège à la table de la direction, il ne peut pas défendre efficacement les besoins de son équipe, dit-il.
« Cette impuissance se répercute. Les managers doivent appliquer la politique et exécuter une stratégie sur laquelle ils n’ont aucune influence, avec une équipe en sous-effectif et sous-équipée pour cette tâche », explique Fisher. « Ils portent la responsabilité de l’échec sans l’autorité ou les ressources nécessaires pour assurer le succès. »
Le problème le plus critique est peut-être que « les responsables de la sécurité ambitieux gravissent les échelons et voient un rôle dont ils ne veulent pas », ajoute-t-il. « Ils voient leur RSSI, plongé dans un cycle de stress 24h/24 et 7j/7, personnellement responsable sans les mêmes protections que les autres dirigeants, et ayant du mal à trouver du temps pour le leadership éclairé stratégique que son rôle exige. »
Ce qui est pire, c’est que beaucoup voient un goulot d’étranglement en matière de leadership, dit Fisher. Il estime qu’il existe une propension à promouvoir les meilleurs experts techniques au poste de RSSI.
« Bien que leur expérience pratique soit précieuse », reconnaît-il, « beaucoup d’entre eux n’ont pas la perspective stratégique, le sens des affaires et les compétences en leadership nécessaires pour élaborer un programme de sécurité mature et encadrer la prochaine génération de dirigeants. Pour l’aspirant manager qui souhaite devenir un stratège axé sur l’entreprise, cela crée un plafond de carrière. Pourquoi rester et mener une bataille difficile pour un salaire intermédiaire qui ne correspond pas à l’expérience requise, pour ensuite rendre compte à un leader qui ne peut pas ouvrir la voie à une progression de carrière significative? »
L’évolution de carrière dans le domaine de la cybersécurité doit probablement être redéfinie, convient Hobson. « Il ne s’agit pas seulement de gravir une échelle étroite vers le rôle de RSSI : les sièges sont limités à ce niveau et le domaine évolue trop rapidement pour que ce soit la seule voie.
Il existe « de multiples voies enrichissantes au-delà de la voie traditionnelle du RSSI », dit-elle, dans des domaines tels que la gouvernance, l’architecture et les risques de l’IA. Une croissance latérale grâce à une spécialisation approfondie dans des domaines tels que la confidentialité, la modélisation des menaces et la gouvernance de l’IA peut être tout aussi précieuse et enrichissante, dit Hobson.
Aider les dirigeants fonctionnels à donner du sens à leur travail
Pour éviter un exode, les RSSI doivent fondamentalement changer d’orientation.
Il ne suffit pas de reconnaître que les dirigeants fonctionnels sont débordés, dit Hobson. « Les RSSI doivent restructurer les charges de travail, donner la priorité au développement et donner à leurs équipes les moyens d’influencer l’organisation de manière stratégique », dit-elle. « Ce rôle très stressant doit être équilibré avec un engagement professionnel. »
Comme Malik, Hobson affirme que les RSSI devraient également « déléguer de manière significative » pour éviter l’épuisement professionnel et donner aux dirigeants fonctionnels une réelle autonomie. « Rien n’épuise plus rapidement un leader fort que d’être réduit à un messager. »
Le rôle du RSSI est de cultiver la résilience, l’appartenance et les connaissances dans différentes voies afin que les dirigeants voient un sens à leur travail et restent engagés, explique Hobson.
« Cela commence par la clarté : aider les dirigeants fonctionnels à comprendre comment leurs responsabilités soutiennent directement la stratégie commerciale et renforcer le fait que la sécurité devrait être un avantage stratégique pour chaque entreprise », dit-elle.
« Notre tâche principale n’est pas seulement de gérer les risques, mais aussi de construire une organisation résiliente et durable », souligne Fisher. « Cela commence par protéger nos collaborateurs contre l’épuisement professionnel, défendre la valeur commerciale de la sécurité dans la salle de réunion pour garantir les ressources nécessaires et encadrer activement nos managers pour qu’ils deviennent les leaders stratégiques dont ce secteur a besoin. »
