Avec la sécurité de leur organisation reposant sur leurs épaules, les RSSI ont toujours travaillé dans un environnement à haute pression et au rythme rapide. Cependant, le monde a changé de vitesse en 2020 et maintenant, cet environnement au rythme rapide devient toxique, ce qui nuit au bien-être mental des RSSI. La pandémie a accéléré les plans de transformation numérique de nombreuses organisations, ce qui a entraîné l’accumulation d’années d’innovation informatique en quelques mois, provoquant une pression interne accrue pour tous ceux qui travaillent au sein de l’informatique.
De plus, les cybercriminels ont profité de l’incertitude mondiale et ont redoublé d’efforts pour infiltrer les réseaux d’entreprise, créant ainsi une pression externe accrue. À ces pressions externes et internes s’ajoutait la contrainte mentale d’être un travailleur clé pendant une pandémie mondiale.
Les conditions de travail changeantes ont entraîné l’épuisement de nombreux professionnels de la sécurité. L’épuisement professionnel peut entraîner un certain nombre de problèmes, allant de la réduction de la productivité à la recherche de nouveaux rôles, qui sont tous des problèmes plus critiques que jamais. Pour lutter contre cela, les entreprises doivent se concentrer sur le bien-être mental de leurs RSSI (et de leur personnel élargi) en comprenant les ressources dont ils ont besoin, en s’attaquant aux pénuries de compétences, en inculquant de fortes croyances culturelles, en mettant en œuvre la technologie nécessaire et en proposant des initiatives pour aider à favoriser le bien-être mental. Sinon, non seulement le bien-être mental des RSSI en souffrira, mais aussi la posture de sécurité de l’organisation elle-même.
Sommaire
1. Fournir les ressources nécessaires
Pour que les RSSI puissent gérer efficacement leur charge de travail, ils ont besoin des ressources appropriées. Les chefs d’entreprise doivent travailler avec les équipes de sécurité pour s’assurer que leurs besoins commerciaux sont pris en compte. Des études indiquent que les budgets de sécurité augmentent réellement, ce qui est l’occasion idéale pour les entreprises d’avoir un dialogue ouvert avec leurs responsables de la sécurité. Il est essentiel de comprendre les problèmes auxquels les équipes sont confrontées et comment le budget peut être alloué de manière appropriée pour aider à atténuer ces pressions, à la fois au quotidien et pendant les périodes les plus chargées.
En effet, une enquête CIISec a révélé que les déficits de financement sont généralement observés pendant les périodes de pointe et les jours fériés, avec près des deux tiers des professionnels de la sécurité informatique (64%) affirmant que leurs entreprises s’attendent à ce qu’ils fassent simplement face aux demandes élevées lorsque cela est nécessaire. De manière alarmante, plus de la moitié (51 %) ont avoué avoir négligé les tâches routinières ou non critiques pendant ces périodes plus chargées.
De plus, la transformation numérique pendant la pandémie a entraîné davantage d’actifs (serveurs cloud, applications SaaS, points de terminaison de travail à distance, etc.) nécessitant une protection contre les menaces de sécurité et les exigences commerciales accrues imposées aux professionnels de la cybersécurité.
Pour aider à résoudre ce problème, les entreprises doivent s’assurer qu’elles sont à l’écoute de leurs équipes informatiques pour leur fournir les outils dont elles ont besoin, tels que des outils améliorés de détection des menaces et de réponse qui utilisent l’apprentissage automatique. Ceux-ci peuvent être un catalyseur clé pour réduire la charge de travail globale en aidant les organisations à hiérarchiser et à minimiser les alertes.
2. Atténuer les effets des pénuries de compétences
L’industrie de la cybersécurité est connue pour être confrontée à une crise mondiale de pénurie de compétences. Selon un rapport de 2021, près de 6 entreprises de cybersécurité sur 10 (57%) avaient au moins un poste vacant qu’elles considéraient comme difficile à pourvoir. Ce n’est pas surprenant si l’on considère l’immense pression que subissent les équipes de sécurité, et souvent sans beaucoup de récompense interne de la part de l’ensemble de l’organisation. De plus, ces équipes en sous-effectif gèrent des charges de travail excessives et des heures supplémentaires.
60% des professionnels de la cybersécurité ont du mal à équilibrer leur vie professionnelle et personnelle en raison de travailler plus longtemps que leurs heures hebdomadaires contractuelles, ce qui peut être un facteur majeur contribuant aux niveaux de stress. Malheureusement, il y a une raison pour laquelle cette pénurie de compétences continue d’être un problème, car il n’y a pas de solution simple.
Cependant, au quotidien, les entreprises peuvent s’assurer d’être à l’écoute lorsque leurs équipes expriment des périodes d’augmentation de la charge de travail et essayer de compenser leur temps par des avantages sociaux, du temps compensatoire et un effort concerté avec les RH pour essayez de trouver plus de talents en sécurité. D’un point de vue technologique, des flux de travail automatisés et des outils améliorés peuvent également aider à résoudre le problème des professionnels de la sécurité qui manquent de temps.
3. Avoir un allié au sommet
Une grande source de stress pour les décideurs en matière de cybersécurité peut résulter d’une rupture de communication entre l’équipe de sécurité et le conseil d’administration. Des erreurs de communication sur les attentes, la charge de travail et la culture d’entreprise peuvent facilement faire que les employés se sentent sous-estimés par leur entreprise et que la démission est leur seule option.
Avoir au conseil d’administration un allié, quelqu’un qui a une expérience antérieure en cybersécurité, qui peut pleinement comprendre les exigences et les défis du poste peut être extrêmement utile pour donner aux équipes informatiques et de sécurité l’impression d’être entendues et comprises.
Il est crucial de comprendre dès le départ que la sécurité est un catalyseur de transformation. Le conseil d’administration et la direction de la sécurité doivent s’écouter les uns les autres. Une communication efficace entre les praticiens de la sécurité et le conseil d’administration réduit les attentes irréalistes placées sur les équipes de sécurité tout en garantissant que l’investissement va là où il est le plus nécessaire.
4. Favoriser une santé mentale positive dans l’ensemble de l’organisation
Les cybercriminels et les acteurs de la menace soutenus par les États-nations continuent de déployer de nouvelles méthodes et tactiques néfastes pour infiltrer les réseaux à un rythme sans précédent. Par conséquent, les équipes de sécurité doivent être en alerte constante pour s’assurer que l’adversaire est contrebalancé par des défenses de plus en plus sophistiquées.
Selon l’organisme d’accréditation informatique CREST, les praticiens de la cybersécurité trouvent les tâches à haute pression à la fois excitantes et difficiles, tandis que de nombreux responsables de la sécurité sont souvent considérés comme des « accros à l’adrénaline » motivés par leur potentiel à faire la différence. Cependant, tout le monde a ses limites en matière de stress et trop de stress peut sérieusement affecter les niveaux de performance et de nombreux cybercriminels attendent que les équipes informatiques commettent de simples erreurs.
Sans le soutien de l’ensemble de l’entreprise, ces menaces peuvent facilement faire passer l’état d’esprit d’un praticien de la sécurité de motivé à dépassé. Les organisations doivent se souvenir de leur côté compatissant et s’assurer qu’elles favorisent un environnement bénéfique et stimulant pour tous les employés.
De l’accès à des programmes de gestion du stress et de conseil à l’offre de services de garde d’enfants, de travail flexible et de programmes d’appréciation des employés, les organisations ont un devoir de diligence envers leurs employés et ne devraient pas s’attendre à ce que leurs employés s’attaquent seuls à leur stress. Moins l’employé moyen est stressé, meilleures sont ses interactions avec l’informatique et la sécurité, ce qui réduit les niveaux de stress pour tout le monde tout au long de la chaîne.
L’amélioration du bien-être mental offre des avantages dans l’ensemble de l’entreprise
Les chefs d’entreprise doivent donner la priorité au bien-être mental de leur personnel, et en particulier de leurs équipes de sécurité. Si rien n’est fait, les organisations seront confrontées non seulement à un personnel épuisé, mais aussi à un réseau vulnérable : des problèmes qui ne disparaîtront pas d’eux-mêmes. En écoutant le personnel et en comprenant vraiment les pressions auxquelles il est confronté, les organisations auront une meilleure perspective sur la façon de protéger la santé mentale de leurs équipes de sécurité, de retenir les talents précieux et de profiter des avantages d’avoir des professionnels de la cybersécurité cohérents et bien soutenus dans toute l’organisation .
