Les professionnels de la cybersécurité sous pression.

Nous le savons tous, en matière de cybersécurité, nous sommes actuellement dans une zone de turbulence sans précédent avec une forte augmentation du nombre d’attaques, une sophistication grandissante des menaces et des cyber-criminels toujours plus compétents, équipés et créatifs, et ce, dans un monde ultra connecté et donc cyber-dépendant. Tout cela générant un contexte de défiance et d’inquiétude, et une prise de conscience nationale et internationale. Cette prise de conscience permet le renforcement de nos législations et réglementations, à la fois aux niveaux national et européen.

Il était temps vous allez me dire. Oui, il était temps. En revanche, ce que le secteur et les pouvoirs publics ont peut-être sous-estimé est la pression grandissante qui pèse sur les RSSI et l’ensemble de la profession. Vous êtes un RSSI et vous vous sentez stressé ? Parfois dépassé ? Vous n’êtes pas le seul et chez Symantec, nous avons essayé d’en comprendre les causes afin de mieux répondre aux enjeux du secteur, actuels et à venir, et permettre à tous les professionnels et leurs entreprises de mieux se préparer. Nous avons mené l’enquête dans trois pays européens : la France, le Royaume-Uni et l’Allemagne.

Être RSSI est avant tout une question de passion et d’amour pour… l’adrénaline ! 90 % des RSSI et responsables en cybersécurité français citent la forte pression comme un facteur de motivation et 90 % d’entre eux sont satisfaits de leur environnement de travail. Aussi, 60 % des RSSI déclarent que leur travail leur donne l’opportunité de faire la différence et d’avoir un impact sur le monde. La prise de conscience internationale, qu’elle soit du côté des entreprises ou des particuliers, et la forte médiatisation des attaques majeures de ces dernières années a sûrement fait naître une forme de fierté de la profession à contribuer pour un monde meilleur.

Ensuite, faire carrière en tant que RSSI ou professionnels de la cyber-sécurité demande une forte capacité de concentration, une extrême attention aux détails, une certaine créativité en matière de résolution de problèmes et enfin, la capacité à prendre des décisions rationnelles dans un contexte de crise. Le multi-tâche et la rapidité viendront peut-être allonger cette liste. 79 % des responsables en cybersécurité affirment ressentir une certaine paralysie face à l’explosion du nombre d’alerte qu’ils reçoivent au quotidien, et une grande majorité semblent s’inquiéter du manque de compétences de leurs équipes (ou du décalage de compétences vs les attaquants).

Attention : le problème n’est pas lié au fait que les professionnels du secteur ne seraient pas bons dans leur travail, mais bien l’évolution de la fonction qui est devenue un véritable défi. Les trois principales sources de stress pour les professionnels français sont :

·        L’augmentation du nombre de menaces et du nombre d’alertes de sécurité à gérer – cité par 88 % d’entre eux ;

·        La lente adoption des dernières innovations par les entreprises, ouvrant ainsi la porte de nouvelles attaques – citée par 87 % ;

·        Le renforcement de la législation et des contraintes imposées par les institutions et pouvoirs publics – cité par 86 %.

Le premier point souligne une cruelle ironie : les outils et systèmes destinés à protéger l’entreprise, ses informations et ses équipements constituent une source de stress. Et nous pouvons observer l’impact sur la sécurité de ces entreprises : 40 % des RSSI pensent qu’une brèche impactant leur organisation est inévitable et 37 % avouent que leur entreprise a été victime d’une attaque qu’il aurait été possible d’éviter.

Alors, trop ou pas assez équipés ? Une grande majorité de RSSI soulignent la difficulté à gérer une myriade de solutions de cyber-sécurité. Ajoutons à cela le stress grandissant qui renforce la complexité du métier, et le RSSI, comme tout être humain, quel que soit le métier, se retrouve dans l’incapacité de bien faire son travail. Si l’on poursuit sur cette voie, la guerre contre les cyber-attaquants est perdue d’avance. Alors comment faire en sorte que le métier de RSSI puissent se concentrer sur ce qui compte, la sécurité ? Comment faire perdurer la passion qui les animent et qu’ils transmettent chaque jour aux plus jeunes ?

Nous vivons dans un monde où le temps s’accélère, le rythme est effréné, surtout en matière d’innovation. La technologie doit apporter plus de simplicité, plus de performances, et la palette de solutions n’a jamais été aussi large. De nouvelles solutions ont vu le jour, de nouvelles menaces aussi. Résultat : trop de distractions, trop de complexité, trop de bruit. Les entreprises et les RSSI disposent aujourd’hui d’un patchwork d’outils, de télémétrie et de solutions de sécurité, augmentant les coûts, complexifiant la gestion, ralentissant la transformation numérique des entreprises et empêchant un croisement d’informations efficace.

Les entreprises doivent redéfinir leur approche de la cybersécurité, en mettant l’intégration au cœur de leur réflexion et de leur prise de décisions, pour plus d’efficacité. Cette intégration passe par la technologie mais aussi par les processus internes et une  gouvernance globale. La cybersécurité est indéniablement l’un des piliers stratégiques clés pour les entreprises, et si elle ne l’est pas, elle doit le devenir afin de protéger leurs activités et de rester compétitif.

Et dans ce contexte, les dirigeants doivent prendre conscience qu’ils ne pourront pas faire sans les RSSI et professionnels de la cybersécurité, ces derniers devant être intégrés aux réflexions et décisions stratégiques en matière de technologies et de protection. Toute l’industrie aura atteint le stade de maturité lorsque le rôle du RSSI sera considéré comme central et que son travail au quotidien sera facilité.

 2019, année de la maturité et de la simplicité ?

 Notre rapport est disponible en ligne. Bonne lecture !