Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Selon un rapport de Symantec, la pression exercée sur les RSSI s’accentue

avril 2019 par Symantec

Les professionnels de la cybersécurité font aujourd’hui face à une réglementation accrue, une multiplication des menaces et une complexité technologique, et se sentent submergés selon une nouvelle étude de Symantec (NASDAQ : SYMC). Les chiffres issus de l’étude Symantec le confirment : en France, 84 % des RSSI et professionnels de la cybersécurité sentent les effets du burn-out et 66 % envisagent de quitter leur secteur d’activité. Réalisée auprès de 3 045 RSSI et professionnels de la cybersécurité en Allemagne, France et au Royaume-Uni, l’étude, menée par Symantec en collaboration avec le Dr Chris Brauer, Directeur de l’innovation au Goldsmiths College de l’Université de Londres, met en évidence la pression croissante que ressentent ces professionnels. Les résultats de l’étude permettent de dresser un état des lieux de la profession et du quotidien des RSSI, de comprendre les causes pour mieux y répondre et de se préparer à faire face aux enjeux du secteur, dont l’explosion des menaces de sécurité qui pèsent sur les entreprises.

Les principales sources de stress chez les professionnels en France sont les suivantes :
• L’augmentation du nombre de menaces et du nombre d’alertes de sécurité à gérer chaque jour, cité par 88 % des répondants ;
• Le renforcement des législations et règlements, à l’image du RGPD ou de la directive NIS, pour 86 % d’entre eux ; _• L’étendue des périmètres à sécuriser et leur complexité pour 86 % d’entre eux ;
• Le manque de compétences et de personnel qualifié pour 85 % d’entre eux.

Effet d’une réglementation renforcée et de la médiatisation croissante des cybermenaces : près de la moitié des RSSI français (47 %) s’inquiètent d’être tenus personnellement responsables en cas d’attaque et voir même pour 64 % d’entre eux que cela puisse conduire à leur licenciement. « Le stress influence considérablement notre capacité à prendre des décisions adéquates », rappelle Chris Brauer. « Il altère la mémoire, perturbe la pensée rationnelle et nuit à l’ensemble des fonctions cognitives. Dans un domaine d’activité comme la cybersécurité, qui nécessite de la concentration, un raisonnement créatif, une attention aux détails et la capacité à prendre des décisions rationnelles sous pression, le stress peut s’avérer extrêmement handicapant. Les professionnels soumis à un stress important sont bien plus susceptibles de perdre leur motivation et, au final, de quitter leur poste. Compte tenu de la pénurie de ressources dans ce secteur, il s’agit d’un problème majeur. »

Le paradoxe de la technologie

Ironie de la situation, les mesures et innovations visant à protéger l’entreprise peuvent engendrer un surplus de stress :
• 85 % des responsables en cybersécurité en France déclarent que la gestion d’un nombre trop important de solutions ou de fournisseurs de cyberdéfense augmente leur niveau de stress (la moyenne européenne est de 78 %) ;
• 88 % d’entre eux se disent « paralysés » par la multiplicité des alertes sur les menaces (82 % en Europe) ;
• 36 % estiment que les alertes, censées les aider à protéger leur entreprise, aggravent la situation en raison de leur volume considérable (33 % en Europe) ;
• Face à une charge de travail extrêmement importante, 74 % des professionnels de la cybersécurité (67 % en Europe) admettent que leurs équipes n’ont pas traité toutes les alertes en fin de journée.

Ce volume a une incidence sur la sécurité des entreprises :
• 40 % jugent les failles inévitables ;
• 37 % déclarent que leur entreprise risque d’être victime d’incidents de cybersécurité qu’ils jugent pourtant évitables ;
• 29 % admettent avoir déjà été confrontés à un incident de ce type.

« Beaucoup de RSSI n’ont jamais de moment de répit », déclare Darren Thomson, EMEA CTO, Symantec. « L’approche actuelle en patchwork d’outils et de stratégies de sécurité crée davantage de problèmes qu’elle n’en résout. Le flot quotidien de remontées est si important qu’il est presque impossible de distinguer les fausses alertes des signes potentiels d’attaque ciblée furtive. Pendant ce temps, les chevauchements et les failles des systèmes de défense sont pour les pirates autant d’opportunités à exploiter. »

La cybersécurité, une affaire de passionnés ?

Même si 75 % des RSSI français n’ont pas totalement confiance dans la réussite de leur mission, le poids considérable de leur charge de travail et de la pression qu’ils subissent ne semble pas les décourager. La majorité des RSSI semble fonctionner à l’adrénaline : 90 % d’entre eux jugent la pression comme un facteur de motivation. Ils sont même 93 % à se sentir à l’aise dans leur environnement de travail et 57 % à considérer leur métier comme une opportunité de se sentir utile.

« Ce goût de la pression est nécessaire, car les enjeux des professionnels de la cybersécurité vont se renforcer à l’avenir », ajoute Darren Thomson. Nombre d’entre eux éprouvent déjà des difficultés face au rythme des changements et de la croissance des données. La nécessité de protéger un volume considérable de données stockées à une multitude d’emplacements rend leur travail plus stressant et la moitié d’entre eux estime que les évolutions technologiques sont trop rapides pour que leurs équipes aient le temps de s’y adapter.

« Depuis le début de l’interconnexion des machines et des systèmes, la cyberdéfense a été globalement en mode réactif », poursuit Darren Thomson. « Les nouvelles technologies s’accompagnent de nouvelles menaces. Lorsqu’une typologie d’attaque inédite émerge, une nouvelle défense est créée. Les entreprises et le secteur de la cybersécurité sont prisonniers d’un interminable jeu du chat et de la souris, qui ne cesse de s’accélérer. Aujourd’hui, il y a trop de souris, mais aussi trop de chats. Les entreprises doivent prendre du recul et rationaliser leur approche en matière de cyberdéfense. »


À propos de l’étude
L’étude High Alert a été réalisée par Symantec en collaboration avec Dr Chris Brauer, Directeur de l’innovation au Goldsmiths College de l’Université de Londres et le cabinet de conseil Thread. L’étude a été dirigée par Sean Duggan sous la supervision de Chris Brauer et de Jennifer Barth. Les chiffres de l’étude quantitative ont été fournis par Censuswide pour l’Allemagne et la France, et par YouGov pour le Royaume-Uni.

L’enquête sur le terrain a été réalisée pendant l’hiver 2018. L’étude s’est appuyée sur des méthodes quantitatives pour mesurer, définir et distinguer l’expérience vécue par les professionnels de la cybersécurité occupant un poste à responsabilité dans trois pays : Allemagne, France et Royaume-Uni. 3 045 personnes ont été interrogées dans le cadre de l’enquête : 1 003 en Allemagne, 1 002 en France et 1 040 au Royaume-Uni. Les participants se situent à un échelon hiérarchique intermédiaire ou supérieur, qui leur confère un pouvoir de décision dans le domaine de la cybersécurité.

Les informations obtenues auprès de professionnels expérimentés de la cybersécurité et des recherches documentaires ont étayé l’enquête. Celle-ci consistait en 43 points organisés en neuf groupes de questions assorties d’une échelle de réponse sur cinq points, permettant aux participants de se situer dans le cadre précis d’investigation. L’enquête comportait également des questions destinées à la collecte de données démographiques.

À propos du partenariat dans le cadre de l’étude
Symantec s’est associé au Dr Chris Brauer, Directeur de l’innovation de Goldsmiths, University of London, et au cabinet d’études Thread dirigé par Jennifer Barth pour étudier les difficultés des professionnels de la cybersécurité. Tous deux sont des spécialistes des études professionnelles sur le comportement des consommateurs, les technologies émergentes et les changements socio-économiques. Associant études qualitatives et quantitatives, leur approche théorique poussée contribue à résoudre les problématiques clés des entreprises.




Voir les articles précédents

    

Voir les articles suivants