Cyber burn-out ! La mise à mort des CISO
Depuis quelques mois fleurissent de nombreux articles mettant en garde contre le cyber burn-out. Comprenez ici le burn-out qui frappe les travailleurs de la cybersécurité. J’ai d’abord cru à quelques actes isolés, à un effet de mode, jusqu’à ce que la presse dite « sérieuse » s’empare du sujet. Touchés par ces articles, les réseaux sociaux sont devenus le relais d’experts en mal de reconnaissance. Sorte de mur des Lamentations virtuel, LinkedIn pullule de gémissements, de plaintes, et même de demandes de compassion interprofessionnelles. La catégorie la plus touchée semble être le CISO. Le Chief Information Security Officer. Un titre souvent confondu avec RSSI, Responsable de la sécurité des systèmes d’information qui, comme son nom ne l’indique pas, n’est pas un C-level. Mais habitués à ce genre de melting-pot et de confusion des genres, entendons-nous pour, le temps d’un article, céder à la généralisation et attardons-nous un instant sur cet épiphénomène qu’est le cyber burn-out (terme tout juste inventé pour le besoin de cet article).
Ce que tentent de démonter les articles en question
Dans un récent sondage mené par le cabinet de recrutement Heidrick & Struggles, « les experts affirment que les responsables de la sécurité de l’information (CISO) seraient soumis à des niveaux élevés de stress dont la suite logique serait le burnout. Le stress (59 %) et le burnout (48 %) ont été les principales réponses données par les CISO interrogés lorsqu’on leur a demandé de citer les risques personnels les plus importants liés à leur rôle. Ces problèmes amèneraient les professionnels interrogés à quitter leur poste de CISO plus tôt que prévu. Cette situation serait préoccupante, car elle entraînerait une pénurie de talents dans ce domaine qui s’avère aujourd’hui crucial pour toutes les organisations et les entreprises de tous secteurs. Les pressions réglementaires et les violations de sécurité seraient également des facteurs de stress pour les CISO. Pour maintenir ces professionnels en poste, il serait important de créer des conditions pour leur permettre de réussir, notamment en leur offrant le niveau de soutien adéquat de la part de l’équipe de direction et du conseil d’administration, un salaire compétitif, ainsi que des mesures de protection de la responsabilité raisonnable. »
Selon la Dr. Rebecca Wynn, « les responsables de la sécurité de l’information (CISO) sont soumis à une pression considérable dans leur travail. Non seulement ils doivent fournir un travail de qualité jugée supérieure (car sous les projecteurs), mais ils doivent également être au fait des dernières technologies, politiques et lois. Ils doivent aider l’entreprise tout en évitant les violations de données, être constamment vigilants tout en opérant avec des ressources limitées et gérer des objectifs et des objectifs différents parmi les dirigeants. Il est rare de trouver une organisation qui soutient pleinement le CISO. Le burnout serait une conséquence « naturelle » du métier qui pourrait affecter les CISO et bien d’autres experts en cybersécurité. Le burn-out se caractérise par un épuisement émotionnel, une dépersonnalisation et une diminution de l’estime personnelle. Le signe principal du burnout est une sensation accrue de fatigue. Toujours selon la professionnelle de la santé, les pressions du rôle de CISO auraient amené de nombreux professionnels à abandonner leur poste. Les CISO doivent apprendre à repérer les premiers signes de burnout et à y répondre avant que les choses ne s’aggravent. Pour les autres membres du C-level qui souhaitent conserver leur champion en matière de cybersécurité, il faudrait créer les conditions propices à l’épanouissement du CISO, notamment en plaçant le poste au bon niveau hiérarchique et en offrant une rémunération compétitive et une assurance appropriée pour les protéger en matière de responsabilités sociétales. »
Que peut-on retenir de ces deux analyses ? Que le burn-out touche effectivement de nombreux professionnels du secteur, que les CISO subissent des pressions extrêmes, que la reconnaissance n’est pas toujours au rendez-vous, que les autres membres du niveau C seraient moins solidaires avec la personne chargée de coordonner la sécurité de l’information ; et que les CISO, las de ces constats, jetteraient l’éponge trop facilement.
Les origines du mal
Inutile d’être sorti du MIT pour comprendre que l’origine du mal se trouve au tout début du cycle de vie de la carrière de CISO. Bien sûr, sous nos latitudes européennes, on peut toujours tancer les frêles politiques nationales et bruxelloises en termes d’éducation et de formation aux différents métiers de la cyber. Cet argument tombe à l’eau lorsqu’il est mis à l’échelle anglo-saxonne. Et pourtant ! Les CISO d’outre-Manche et d’outre-Atlantique ne seraient pas épargnés par le phénomène du cyber burn-out.
Au début de cet article, j’évoquais un problème de vocabulaire, de sémantique. Entre CISO et RSSI, cyber manager, IT risk manager et encore tellement d’autres termes (souvent inappropriées et peu en phase avec les job description qui en découlent), le cœur des recruteurs balance. C’est à celui qui annonce la plus belle offre, parée du titre le plus ronflant. J’ai même un jour lu l’annonce d’une entreprise publique recherchant un CISO Officer. À quand les CEO et CFO Officer ? Le niveau C est en pleine mutation, et on ne m’a pas prévenu ? Bref, trop de recruteurs internes ou de « chasseurs de têtes » [encore un titre prestigieux que l’on accorde au simple « sourcer » sortant tout juste d’une école de commerce] n’y connaissent rien en matière de sécurité des systèmes d’information. Niks, nada, walouh, queutchi ! Il suffit de trois minutes de discussion avec Kevin qui vous appelle de Londres ou Karima de Tunis pour vite se rendre compte que leurs « boss » ont [ré] introduit le style télégraphique dans les annonces, mots-clefs obligent ! Et vas-y que je te « soc », que tu me « siem » et que nous « meharisons » ou « ebiossons » le périmètre d’un SIMS [si si] basé sur NIST 27000 [du vécu].
Mais stoppons l’attaque sur ces pauvres recruteurs qui, eux plus que d’autres, subissent des pressions dignes de celles de la Fosse des Mariannes, mais qui résistent au burn-out grâce à leur jeune âge et aux décilitres de Redbull qu’ils s’enfilent durant de courtes pauses de six minutes entre cinquante « calls à l’heure ».
Vous l’aurez compris, inutile de chercher qui est fautif. Le constat est déjà assez surprenant comme ça : n’importe qui engage n’importe quoi pour le compte de clients qui ne « captent » rien aux métiers de la sécurité de l’information. Pour les ressources humaines internes, c’est le même combat : mots-clefs, CV non vérifiés [une entorse à la clause A.6.1. de l’ISO 27001:2022] et négociation salariale ardue parce que ce qui est rare est cher. Dont acte. Il faut remplir les cases parce que la pression du régulateur est là, parce que le marché exige des certifications de sécurité, parce que les actionnaires ont lu quelques articles dans Capital ou Forbes, quand ils n’ont pas croisé un pseudo-expert cyber sur le plateau de BFM ou que le petit filleul de bobonne ne leur a pas fait un laïus sur le mot de passe du Wifi familial « trop easy à sniffer avec le Flipper que marraine m’a tout juste offert ».
En résumé, si on engage mal, ça travaille mal. Et tout cela amène de nombreuses frustrations qui elles-mêmes entraînent des pressions qui elles-mêmes, trop lourdes, pèsent sur les épaules du pauvre gars devenu CISO presque par hasard ou par chance. Attention, je ne dis pas que tous les CISO sont dans le cas. J’affirme simplement que ce métier n’est pas fait pour tout le monde et qu’il ne suffit pas d’avoir passé un CISSP ou une des très nombreuses certifications ISO pour devenir CISO. À ce titre, j’invite les parties prenantes à lire attentivement la norme ISO 27021:2017.
C’est un métier difficile…
Qu’on le veuille ou non, être CISO, c’est un métier. Le mot métier ne signifiant pas uniquement le fait d’exercer une activité contre rémunération, mais aussi le degré de maîtrise d’une personne ou d’une organisation du fait de la pratique sur une durée suffisante de cette activité comme l’expérience et le savoir-faire acquis et l’amélioration des pratiques.
C’est un métier complexe, bien sûr. Le but de cet article n’étant pas d’énumérer toutes les facettes du rôle de CISO, mais bien de traiter de notre « cyber burn-out », attardons-nous sur les fameux « soft skills » décrits par nos recruteurs chéris. « Skills » qui ne sont pas si « soft » que cela lorsqu’on évoque la résistance au stress, la gestion de crise et du chaos, la négociation offensive et la capacité à prendre des décisions parfois difficiles. Ne parlons pas des compétences en communication qui permettent de faire passer la pilule auprès des collègues qui voient le CISO comme un empêcheur de tourner en rond, ou encore celles de convaincre un aréopage savamment constitué autour du CFO, le gardien de la bourse à qui tout le monde fait les beaux yeux.
D’ailleurs, ne faudrait-il pas s’interroger sur le fait que ces compétences rares devraient être les premières à évaluer lorsque l’on engage un CISO ? Parce que se concentrer exclusivement sur la partie technologique ou technique mène au chaos, et comme on le sait [je ne vais pas vous refaire la démonstration] le chaos de trop mène au burn-out, et donc à la démission du CISO. La boucle est bouclée. Fin du match.
Comment seraient perçues par les candidats et consultants des fiches de poste ou des fiches de mission marquées d’un label « métier difficile et à risques » ? Et pourtant, tout le monde le sait. C’est le cas !
Recommandé par LinkedIn
… et qui n’est pas fait pour le monde
Revenir à la réalité du terrain, éviter la compétition à l’embauche et définir les objectifs clairs et précis ! Voilà une démarche qui vaudrait peut-être la peine d’être investiguée. Il sera toujours possible d’acquérir les compétences techniques et technologiques pour celui qui est passionné. Il suffit de voir comment certains juristes avec l’avènement du RGPD sont devenus de véritables experts en matière de gestion de données. Peut-être qu’il est aussi possible de se former à la résistance au stress ? Mais à quoi bon investir dans ce genre de profil pour un poste si exposé que l’est celui du CISO. Car cela commence au premier jour de l’entrée en fonction. Qui peut affirmer qu’une crise attendra pour survenir que le CISO soit prêt ? C’est une illusion trouvée dans un monde parallèle ou les gentilles licornes chevauchent dans les bois sans chasseurs aux fesses. Un monde où le cybercriminel porte un gentil chapeau blanc.
Se raccrocher aux pensées martiales
Fini de rêver ! Le monde dans lequel vivent les CISO est un véritable enfer. Traquenards, pièges, confrontations, affrontements numériques, mensonges, cupidités, déloyauté, menaces et manque de reconnaissance sont autant de jalons sur la route qui mène à la maîtrise de la sécurité du système d’information que le CISO défend. Qui plus est, le CISO doit gérer deux populations d’assaillants : adversaires et ennemis. Contre un adversaire, les règles sont définies et généralement claires, même lorsqu’elles flottent entre politique et diplomatie. Contre un ennemi, la seule option est la neutralisation de ce dernier, coûte que coûte, peu importe les moyens.
Certains grands penseurs martiaux peuvent nous éclairer sur le sujet. Sun Tzu balise nos chemins en nous faisant prendre conscience que pour gagner une guerre, il faut additionner la connaissance de soi et celle de son ennemi. Miyamoto Musashi nous fait comprendre que la Voie de la tactique est semée de connaissances, de flexibilité et d’entraînement constant. Connaître nos ennemis, apprendre à les affronter, attaquer leurs désirs et frapper le premier sont autant de conseils qu’il ne faut pas oublier. Plus proche de nous, les membres des forces spéciales ont pour devise : à entraînement difficile, guerre facile.
Entre burn-out et le bore-out, une solution exquise : l’équilibre
Un autre terme à la mode est aussi le bore-out, bien qu’il soit très peu utilisé dans les métiers de la cyber. Quoi de plus normal puisque ce terme sert à définir un ennui extrême au travail, un état dans lequel l’employé se sent inutile. Quand on connaît les enjeux de la cybersécurité, on se dit que ce n’est pas demain la veille qu’un CISO périra d’ennui, à moins que cette fonction ne soit une voie de garage [et j’en connais plusieurs qui sont dans ce triste cas de figure]. Comme pour toute chose martiale [ou pas], l’équilibre amène l’équilibre. Un savant mélange entre compétences techniques et compétences métiers, entre technologie et gouvernance, entre stratégie et tactique, entre attitude défensive et attitude offensive, le tout saupoudré d’humilité et de dévotion. Long est le chemin pour être un bon CISO, mais comme se l’était approprié Steve Jobs : l’important, ce n’est pas la destination, mais le chemin !
Alexandre LIENARD
Sources :
DPO & Conseiller en Sécurisation et Gestion des Risques RTBF
1 ansJ’ai lu, j’adhère. J’ai peut être quelques éléments complémentaires que je développerai plus tard, après réflexion 👍