Cyber stress Une grande étude sur le stress des Responsables Cyber - Septembre 2021
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cyber stress
Une grande étude sur le stress
des Responsables Cyber
Septembre 2021
1
0
1- En synthèse 4
2- Introduction / Édito 10
3- Les mots pour le dire - Rappel de la démarche d’étude 14
4- Connais-toi toi-même - Évaluation du stress perçu 24
5- Un métier à risques - Recherche des facteurs de stress 36
Sommaire
6- Une prise de conscience - Réactions face aux résultats 52
7- Approfondir et observer 60
8- Des paroles aux actes - Premières réflexions sur les solutions 62
9- Conclusion - L ’Humain, toujours et encore 70
10- Annexes - Questionnaire et données d’étude 74
2 3
1
Advens et le CESIN se sont en- L’enquête a comporté deux séries
gagés, au second trimestre 2021, de questions. Une première série
dans la réalisation d’une étude sur de 10 questions alignées sur un
le stress des métiers de la Cyber, modèle de mesure international et
plus précisément, sur le métier de reconnu de la perception du stress,
Responsable en Cybersécurité, re- la Perceived Stress Scale (PSS), et
couvrant principalement les fonc- dont l’objet est la détermination du
tions de Directeur Cybersécurité niveau de stress ressenti. Et une
ou de RSSI. série de 22 questions permettant
de déterminer les facteurs propres
Advens a proposé cette initiative, aux métiers de la Cyber et suscep-
après avoir lu que des études tibles de contribuer au stress.
Outre-Atlantique et Outre-Manche
faisaient un constat alarmant des Les réponses aux 10 premières
niveaux de stress dans lesquels se questions permettent de calculer
trouvaient les responsables cyber- un score sur l’échelle PSS utilisée,
sécurité dans ces pays. qui s’étale de 0 à 40, Le stress est
jugé positif ou stimulant si le score
Le CESIN et Advens ont alors est inférieur à 16 (zone « verte »).
construit une enquête destinée à Entre 16 et 24 (zone « orange »),
un public français, sur laquelle les le score traduit qu’il existe des
En synthèse membres du CESIN ont naturel-
lement été interrogés. Cette en-
quête a été conçue par le CESIN et
sentiments d’impuissance oc-
casionnels et des perturbations
émotionnelles - certaines situa-
Advens, avec le concours de prati- tions deviennent difficiles à gérer.
ciens, un coach et un oncologue, Au-delà d’un score de 22 (zone
non spécialistes de la profession « rouge »), on se situe dans une
Cyber, mais en capacité d’appor- « zone rouge » accompagnée de
ter toute leur expérience dans le risques accrus pour la santé phy-
traitement du stress en contextes sique et mentale, et un sentiment
exigeants. de menace et d’impuissance.
L’enquête a permis de collecter les La mesure du niveau de stress au-
réponses de 330 membres du CE- près des 330 répondants a conduit
SIN, dont 60% de RSSI et 20% de à établir un niveau moyen de 18,4.
Directeurs Cybersécurité. Tous les Cela traduit un niveau collectif de
secteurs d’activité et tailles d’en- stress élevé, comparé à ceux obte-
treprises ont été couverts, ce qui nus par d’autres études adressant
a permis de constituer un échan- un panel de métiers large parmi
tillon significatif de ces professions les cadres et ingénieurs. 130 per-
en France. sonnes (soit 39% des répondants)
sont dans la zone verte. Et 61%
5
des répondants sont soit en zone En ce qui concerne les facteurs
orange (33%) soit en zone rouge contribuant au stress, les 22 ques-
(28%), et subissent donc un stress tions posées ont été organisées
aux effets négatifs. Parmi les 92 suivant une typologie de 8 familles
personnes qui se trouvent en zone caractéristiques des métiers de la
rouge, 62 personnes sont en risque cyber : coercition et surveillance,
de burnout. 22 personnes étant complexité et évolutivité, transver-
même dans une zone à risque de salité, combat et adversité, incerti-
dépression clinique, avec un score tude et inconnu, gestion de crise,
supérieur à 28 sur 40. communication et conviction, res-
ponsabilité et culpabilité. La majo-
Ces niveaux de stress sont préoc- rité de ces 22 questions, 17 sur 22,
cupants. Un stress élevé peut être mettent en évidence des facteurs
supportable sur une durée courte. contributifs du stress, alors que 5
Mais dans la durée, un niveau de questions sur 22 portent sur des
stress important peut impacter facteurs qui ne semblent pas aug-
sérieusement la santé mentale. menter le niveau de stress.
Et à court terme, un stress répé-
té peut impacter la performance Parmi les facteurs les plus contri- manence sur le qui-vive, près d’un crise majeure pourrait leur coûter
des responsables Cyber et, in fine, butifs du stress, se trouvent no- quart des répondants ne se font leur poste. Ce dernier chiffre passe
la performance des dispositifs de tamment le contexte d’adversité, pas aux aléas et imprévus du mé- à 65% pour les répondants de la
Cybersécurité. la difficulté à déconnecter et faire tier et 28% se sentent même dé- zone rouge.
un break, la relation à la respon- couragés devant l’augmentation
C’est pourquoi l’étude de ce sujet sabilité et la culpabilité et le sen- de la fréquence et de la puissance Certaines réponses confirment
doit être poursuivie, avec notam- timent d’incertitude et d’inconnu des cyberattaques. En termes de que les les Responsables Cyber
ment une mesure régulière des au quotidien. À cela s’ajoutent compétences, 60% des répon- sont à l’aise avec les valeurs de leur
indicateurs de stress, pour confir- les évolutions permanentes de la dants pensent posséder l’exper- métier. Parmi les situations plu-
mer si les niveaux observés sont fonction. Les personnes les plus tise technique et méthodologique tôt bien vécues, ils ne se sentent
inscrits dans la durée. Il est éga- touchées par le stress éprouvent nécessaire et seulement la moitié pas personnellement en danger,
lement important de refaire des un sentiment d’impuissance et de des répondants estiment avoir la ne sont pas gênés par les secrets
mesures à distance de la situa- découragement devant la puis- capacité à s’adapter au contexte parfois délicats qu’ils sont amenés
tion pandémique, qui a tendance sance des attaques. Autre élé- très évolutif du métier. La ges- à détenir, vivent plutôt bien le fait
à majorer le stress pour un grand ment notable, la majorité des ré- tion des risques, en amont des d’être du côté de la défense sans
nombre de professions. Celles de pondants expriment le risque de processus Cyber, est un exercice pouvoir riposter, et se sentent sou-
la Cyber ont plutôt été soumises perdre leur poste, en cas de crise jugé difficile par 62% des répon- tenus par leurs proches dans les
à une aggravation des menaces, majeure. dants, mais 84% d’entre eux vivent moments extrêmes de gestion de
depuis le début de la pandémie, plutôt bien la gestion de crises crise.
et l’isolement forcé lié aux phases Plus précisément, 82% des répon- cyber, en aval. Enfin 38% des ré-
de confinement peut avoir accen- dants confirment exercer dans un pondants déclarent que leur mé- Certaines composantes du mé-
tué la sensation d’impuissance et contexte d’adversité, face à des tier souffre « encore » d’un a priori tier de Responsable Cyber sont
de découragement devant ces ennemis souvent invisibles, 52% plutôt négatif, 47% se sentent en- manifestement génératrices d’un
menaces. des répondants se sentent en per- core incompris, voire jugés parfois stress, qui peut parfois devenir né-
excessifs et 54% estiment qu’une gatif. Si certains facteurs semblent
6 7
difficiles à maitriser, comme l’in- Au-delà des communautés, la
tensité des attaques ou leur ca- prise en compte du stress doit
ractère aléatoire, certains para- être faite par l’employer. Elle doit
mètres peuvent être travaillés. commencer dès l’élaboration de
Tout cela souligne la richesse des la fiche de poste, être intégrée
enseignements de cette enquête. au parcours de formation et s’ap-
Cela incite à poursuivre l’exercice puyer sur des échanges avec les
d’analyse, en l’approfondissant autres métiers de l’entreprise pour
sur certains sujets, que ce soit sur une meilleure connaissance et
l’origine ou sur les impacts de ce compréhension du métier – ce qui,
stress sur la performance, mais au passage, ne peut qu’accroitre
aussi en le pérennisant via une la sensibilisation aux risques Cy-
mesure annuelle afin d’obser- ber et le niveau collectif de pré-
ver des tendances. Les métiers paration face à une attaque. Le
de la Cybersécurité étant encore monde académique a également
en forte évolution, parfois même un rôle à jouer dans l’identification
naissant dans certaines organisa- et l’intégration des aspects liés au
tions, il est probable que certains stress dans l’éducation des profes-
facteurs s’atténuent avec le temps sionnels et futurs professionnels.
lorsqu’une certaine forme de sta-
bilité sera atteinte. Comprendre et adresser le sujet
du stress chez les professionnels
En ce qui concerne les réponses de la Cyber est une démarche
au stress, plusieurs pistes sont doublement gagnante. Il est im-
examinées et portent soit sur la portant d’assurer enthousiasme,
modification des causes du stress, épanouissement et équilibre des
soit sur l’atténuation des consé- populations concernées. Mais
quences. Ces pistes peuvent s’ins- traiter le stress est une aussi ap-
crire dans le cadre de communau- proche qui fera gagner en per-
tés telles que le CESIN, à travers formance. En travaillant sur les
des ateliers de « résilience face au causes du stress, la cybersécurité
stress » ou des séminaires ad hoc. progressera. D’une part les per-
Ces travaux pourront se poursuivre sonnes qui la pilotent se sentiront
avec une approche plus holistique. mieux armés et mieux soutenus.
Par exemple, la réalisation de por- Et d’autre part ce sujet stratégique
traits complets de professionnels sera mieux intégré dans la vie nu-
de la Cyber permettrait de mieux mérique de l’entreprise, avec des
comprendre dans sa globalité le responsables Cyber correctement
sujet du stress, à travers différents reconnus et dotés des bons leviers
parcours. pour exercer leur fonction.
8 9
2
Le risque Cyber, traduisant une charge de cette problématique.
atteinte à la sécurité de l’informa- Appelé RSSI (Responsable de la
tion et des systèmes d’information Sécurité des Systèmes d’Informa-
figure désormais en tête de nom- tion), Directeur / Directrice Cyber-
breux classements des risques. sécurité ou CISO (Chief Information
En 2021 l’assureur Allianz le place Security Officer), cette personne a
en première position de son ba- la charge d’orchestrer toutes les
romètre annuel des risques. De actions concourant à la maitrise de
même, le Word Economic Forum ce risque Cyber.
identifie le risque Cyber dans son
top 5 des « dangers clairs et pré- La montée en puissance du sujet
sents ». Cyber a fait vivre à ces profession-
nels de la sécurité numérique de
Les régulateurs, les assureurs et grands changements, pour ne pas
bon nombre d’organes de contrôle dire bouleversements au cours
et de veille ont clairement pris la des dernières années. Les causes
mesure de ce risque. Par ailleurs, sont tout aussi multiples que le
avec l’interdépendance entre les sont les facteurs de complexité de
organisations, leurs fournisseurs maitrise de ce risque bien particu-
et leurs clients, le risque Cyber est lier. Les conséquences sur le mé-
devenu systémique. Les attaques tier et les Femmes et les Hommes
Introduction / Édito récentes sur des éditeurs de logi-
ciel comme Solarwinds et Kaseya
le démontrent aisément.
qui l’endossent le sont tout autant,
sinon plus.
Le CESIN et Advens ont souhai-
Mais alors, faut-il encore rappeler té lancer une grande enquête sur
que la menace Cyber plane sur le stress chez les RSSI, Directeurs
toutes les organisations, publiques Cybersécurité et professionnels
et privées, peu importe leur taille, de la cybersécurité en entreprises
compte-tenu de la dépendance ou en administrations. Face à ces
accrue au numérique et du carac- mutations, il a semblé important
tère extrêmement lucratif de la cy- de se demander comment vont
bercriminalité ? ces professionnels, et s’ils par-
viennent à vivre sereinement leur
Malheureusement oui ! Malgré ce métier qui se transforme, s’étend
caractère critique et stratégique, et se structure sous la pression du
malgré les conséquences des- feu croissant des cyberattaques.
tructrices, force est de constater
qu’il est difficile de traiter ce risque. Plusieurs éléments sont en train
Ce challenge est celui de toutes de se redessiner dans la façon
les organisations, et il est piloté dont s’exerce ce métier, ce qui
par une femme ou un homme, en peut donner parfois un sentiment
10 11
de vertige, voire de déséquilibre. Les médias font désormais une
Les professionnels deviennent « belle place » à la cybersécuri-
plus nombreux, même si à court té. Il était temps de prendre soin
terme les ressources sont encore de ceux qui font la sécurité, et
insuffisantes. Des spécialités appa- d’écouter leur ressenti sur ce mé-
raissent, traduisant la richesse des tier exigeant.
métiers de la Cyber, la palette s’est
élargie avec un curseur qui a bou-
gé vers davantage de détection et Mylène JAROSSAY, CESIN
de réponse à incidents. Pour cer- & Benjamin LEROUX, Advens
tains, le quotidien est de plus en
plus marqué par les activités très
opérationnelles et la gestion de
crises.
La problématique Cyber est de
mieux en mieux comprise et
adressée par le « top manage-
ment » des entreprises. Mais le
temps pour se poser, construire et
anticiper, est toujours plus court.
Est-ce que tous les professionnels
de la cybersécurité sont taillés
pour des aventures souvent mou-
vementées ? Arrivent-ils à prendre
le recul nécessaire pour être de
bons stratèges, tout en composant
avec un quotidien qui réclame tou-
jours plus d’énergie et d’efficacité ?
Est-ce que ce métier leur pèse ou
est-ce qu’il les stimule et les en-
thousiasme ? Comment vivent-
ils la relation avec leurs proches,
leurs familles, leurs collègues et
leur manager ?
Autant de sujets qui ont encore
été peu analysés, car ce métier est
jeune et il vit de nombreuses mu-
tations depuis quelques années.
12 13
3
3.1- La genèse émotionnelle et de la charge men-
tale sont plus que jamais dans l’air
Cette étude est née en réaction à du temps depuis 2020, le début de
une série d’articles publiés sur des la pandémie COVID et après les
médias anglo-saxons autour de la premiers mois de confinement.
santé mentale des RSSI ou Direc-
teurs Cybersécurité, appelés CISO Ainsi est née cette étude sous
outre-Manche et outre-Atlantique. l’impulsion d’Advens, qui s’est as-
Ces contenus, parus entre début socié au CESIN pour concevoir
2019 et début 2020, agitaient le et conduire cette étude. Quid du
spectre de responsables Cyber stress des Responsables Cyber
en pleine crise : burn-out, dépres- en France ? Y a-t-il un sujet ? Que
sion, consommation excessive de peut-on en dire ? Le plus simple
médicaments, d’alcools et autres était de poser la question aux in-
substances. Manifestement la téressés. Et exploiter ainsi la puis-
coupe était pleine et la situation sance et la solidarité du CESIN et
des plus graves ! de ses centaines de membres pour
tenter de trouver des réponses et
Comment savoir ce que tradui- d’établir un état des lieux.
saient réellement ces articles aux
titres parfois racoleurs ? Comment
Les mots pour le dire importer ces éléments sur les ter-
ritoires européens ou français ?
Peut-on appliquer les conclusions
3.2- La démarche
d’étude
Rappel de la
aux responsables Cyber français ?
Les cultures d’entreprise, le droit Cette étude s’est construite au-
du travail, le contexte socio-pro- tour d’une enquête à destination
fessionnel et bien d’autres facteurs des principaux intéressés, à savoir
démarche d’étude
semblent trop différents pour se les RSSI et directeurs / directrices
permettre de faire un « copier / Cyber des entreprises privées et
coller » de ces résultats. Pour au- structures publiques de France.
tant la problématique Cyber est Pour les toucher, le CESIN a été
globale. Et toutes les solutions une évidence. L’association re-
pour faire face aux risques psy- groupe des profils issus d’horizons
cho-sociaux chez les responsables très variés, intervenant dans des
Cyber sont bonnes à prendre. secteurs tout aussi variés, dans
des organisations aux tailles et aux
Le sujet de la santé mentale au enjeux divers. Cela a permis d’évi-
travail est intéressant et relative- ter le biais de ne se concentrer
ment nouveau pour la commu- que sur les groupes et entreprises
nauté française. Les thèmes de la multinationales, par exemple.
gestion du stress, de la résilience
14 15
L’étude s’est appuyée sur une en- ception du stress est propre à rectement le degré d’importance dans le périmètre de ces travaux.
quête, composée de deux ques- chacun, les mêmes conditions ne que la communauté Cyber doit Quelques pistes sont tout de
tionnaires qui seront détaillés ci- déclenchent pas le même niveau y accorder. En cas de probléma- même abordées en partie 7, no-
après. Il est important de souligner de stress ressenti par les uns et les tique avérée, et quel que soit le tamment grâce au concours des
un élément clé de la démarche autres. Il appartient donc à cha- niveau d’intensité de ce stress, les intervenants externes.
d’étude : le concours d’interve- cun d’estimer une position sur une solutions ne sont pas comprises
nants externes ayant une expertise échelle de stress vécu, par analo-
ou une expérience en matière de gie avec l’évaluation de l’intensité
gestion du stress, aussi bien dans de la douleur sur des échelles pro- 3.3- Les intervenants
la phase de conception de l’en- posées par des médecins spécia-
quête que pour l’analyse de ses listes de la lutte contre la douleur.
résultats. En effet, si les initiateurs Cette partie comporte dix ques-
de cette étude peuvent prétendre tions et est issue d’un modèle de Mylène Jarossay est Directrice Cybersécurité du
à une certaine expertise sur les mesure de la perception du stress, Groupe LVMH et Présidente du CESIN.
Ingénieure en Informatique & Réseaux de for-
questions Cyber, il n’en est rien sur la Perceived Stress Scale (PSS). Les
mation, Mylène a travaillé dans des secteurs di-
les sujets de la santé mentale, de résultats de ce volet sont abordés vers, d’abord chez l’éditeur de logiciels Prologue
la résistance au stress et des thé- en partie 4. Software, ensuite dans le secteur Défense, puis
matiques associées. dans le domaine de la santé, à l’Institut Curie tant
→ La seconde série de questions que DSI Adjointe et RSSI. En 2015, elle a rejoint le
C’est pourquoi les résultats de consiste à identifier les spécificités Groupe LVMH, leader mondial du luxe, dont elle
l’enquête n’ont pas seulement été du métier qui pourraient être à l’ori- Mylène est la Directrice Cybersécurité.
analysés par des habitués de la gine du stress ressenti. Il s’agit de JAROSSAY Elle a été l’un des fondateurs du CESIN en 2012.
Cyber. Bien au contraire. Ils ont été comprendre ce qui cause le stress
minutieusement analysés par des ressenti, au travers du prisme du
intervenants qui seront présentés métier. Les facteurs personnels Benjamin Leroux est Directeur Marketing et RSSI
dans le paragraphe suivant. Et il se (la situation familiale par exemple) chez Advens. Il évolue dans le milieu de la cyber-
trouve que la Cyber a représenté ou professionnels plus larges (les sécurité depuis plus de 15 ans. Après des expé-
riences au sein du cabinet Accenture puis de la
un contexte d’étude qui a passion- relations avec les collègues ou la
société Dictao (Idemia), il a occupé un poste de
né ces intervenants ! hiérarchie, la trajectoire de carrière, RSSI Groupe pour un acteur des services finan-
la santé de l’entreprise, etc.) ne ciers. Il a rejoint Advens en 2012 pour développer
L’enquête est basée sur deux sé- sont pas pris en compte. Est ana- les offres de conseil et d’accompagnement RSSI.
ries de questions, qui ont été ras- lysée une série de critères consi- Il est désormais en charge de la définition et de
semblées en un questionnaire dérés comme caractéristiques du l’animation de l’ensemble des offres d’Advens et
unique auquel ont répondu in- métier de responsable Cyber. Les du catalogue de services associé - pour rendre la
tégralement les différentes per- conclusions intermédiaires liées à Benjamin sécurité plus accessible, plus agile et plus efficace.
sonnes interrogées et volontaires ce volet sont partagées en partie 5. Benjamin représente Advens au CESIN, au CLUSIF
LEROUX
et dans d’autres groupes professionnels. Il pilote
pour répondre.
également la stratégie de sécurité et de conformi-
L’étude cherche à évaluer l’exis- té de la société Advens.
→ La première série de ques- tence d’un sujet de préoccupation
tions a pour objectif d’analyser le autour du stress provoqué par les
niveau de stress que perçoivent caractéristiques propres au métier
les responsables Cyber. La per- de responsables Cyber ; et indi-
16 17
treprises commerciales dont l’acti- Taille des entreprises
Le Dr Alain Livartowski est oncologue à l’Institut vité principale est la fourniture de
Les répondants sont issus de
Curie, spécialisé dans le traitement des cancers solutions et/ou de prestations en
structures de tailles variées.
du poumon. sécurité de l’information et du nu-
Il a été très impliqué dans la construction du Sys- mérique.
tème d’Information de l’Institut Curie, dans sa
stratégie du « tout numérique » en soutien à l’en-
semble des activités et processus hospitaliers. Il
contribue également à la nouvelle Direction des
Data dont l’objectif principal est, à travers l’analyse
des données cliniques et de recherche, de per- 14%
mettre de découvrir de nouvelles pistes thérapeu- Taille de l’entreprise
Alain tiques et d’optimiser le diagnostic des cancers. des répondants
Alain a travaillé sur les conséquences psycholo- 34%
LIVARTOWSKI
giques chez les soignants qui prennent en charge 1 000 à 10 000 employés
des patients atteints de cancer et les risques de 22%
« burn out » 10 000 à 100 000 employés
Moins de 1 000 employés
Coach et praticien ANC (Approche Neurocognitive
29% Plus de 100 000 employés
Comportementale), Yann Ofanowski accompagne
les dirigeants dans leur quête d’efficacité et de sé-
rénité, au sein d’univers complexes et stressants.
Il aide les dirigeants à repenser leur cadre mental,
à développer leur agilité émotionnelle, leur auto-
nomie affective, leur rapport à la performance.
Avant de devenir coach, il a passé 20 ans chez Ac- Métiers des répondants
2%
centure, d’abord dans le conseil puis en interne 1%
comme directeur RH. Il est ingénieur de formation, 4% 2%
4% RSSI
Yann père de 3 enfants et artiste plasticien passionné.
En parallèle de son activité en entreprise, il en- 6%
OFANOWSKI Directeur cybersécurité
seigne le leadership à l’IESEG School of Manage-
ment (à Lille).
Autre
63%
18%
Expert cybersécurité
3.4- Le panel de répondants DSI
Responsable SOC
et/ou CERT/CSIRT
330 managers Cyber ont répondu SIN. Les membres actifs sont des
à l’enquête. spécialistes occupant des postes Risk manager
de management de la sécurité de
Entreprises « clientes » l’information et du numérique, au Architecte cybersécurité
Les deux-tiers des répondants (63%)
sein d’entreprises privées ou pu- exercent le métier de RSSI, 18% sont
La cible de l’enquête a été d’inter-
bliques. Sont ainsi exclues les en- des Directeurs Cybersécurité.
roger les membres actifs du CE-
18 19À propos du genre le dernier. Sur le premier trimestre
2020, cette étude a été reprise
L’enquête n’a pas collecté le
par plusieurs media français, et ce
genre des répondants. Mais il est
sans préciser toujours clairement
probable qu’environ 90% des ré-
que le panel ne concernait que le
pondants soient des hommes,
Royaume-Uni. Le stress des Res-
ce qui correspond au taux actuel
ponsables Cyber français, comme
d’hommes parmi les membres du
sujet d’étude, est donc inédit.
CESIN.
Plus globalement, le facteur hu-
Or des études montrent que les
main est souvent abordé en ma-
hommes admettent plus diffici-
tière de cybersécurité. Mais il est
lement ou plus tardivement être
quasiment toujours destiné à trai-
soumis à une pression ou en situa-
ter la dimension humaine, plutôt
tion de stress. Cela peut introduire
comportementale, dans les failles
un biais de minimisation du stress
de sécurité et ne concerne pas les → L’addiction dans le milieu de la PA, ont lancé une enquête sur les
ressenti.
humains qui « font » la cybersécu- sécurité de l’information : professionnels de la cybersécu-
rité. https://www.blackhat.com/us-18/ rité, dans la continuité de leurs
À ce sujet Rachel Liu, fondatrice briefings/schedule/#holding-on-for-
travaux autour du Panorama des
de Human Tempo, nous précise tonight-addiction-in-infosec-10951
Cependant certaines thématiques métiers de la cybersécurité, tra-
« les hommes que nous recevons
connexes et relatives à ces hu- vaux auxquels le CESIN a contri-
sont en général bien plus dans le → Le stress cognitif dans les
mains ont émergé ces dernières bué. Ceux-ci ont permis d’apporter
déni, et bien plus « cabossés » que opérations tactiques de sécurité :
années. Outre-Atlantique, et dans une spécification claire et actua-
les femmes lorsqu’ils acceptent en- https://www.blackhat.com/us-18/
certains cercles assez techniques, briefings/schedule/#stress-and-hacking- lisée des différents métiers de la
fin d’agir. Par exemple, une majorité
le sujet a été traité sous l’angle understanding-cognitive-stress-in- cybersécurité. L’enquête qui a sui-
des hommes que nous recevons ont
de la « communauté ». C’est une tactical-cyber-ops-10243 vi, quant à elle, comportait, entre
eu des pensées suicidaires, alors
catégorie qui a fait son apparition autres, une question sur le niveau
que c’est le cas pour une minorité
dans le programme de la célèbre Une étude en 2020 a, par ailleurs, de stress ressenti. Les conclusions
de femmes. »
conférence Black Hat depuis étudié le profil psychologique des de cette enquête seront publiées
20182. Cette année-là, de nom- hackers white/grey/black hats : à l’automne 2021, mais il appa-
breux sujets « nouveaux » ont été rait d’ores et déjà que l’indicateur
3.5- Études similaires abordés, tels que : → Article « Psychological Profiling unique de stress collecté dans
of Hacking Potential », Procee- cette enquête soit en adéquation
Le sujet du stress des respon- → La santé mentale dans la dings of the 53rd Hawaii issu de l’In- avec la présente étude, avec une
sables Cyber ne semble pas avoir communauté des hackers : ternational Conference on System typologie de répondants différente
été abordé à l’échelle française. En https://www.blackhat.com/us-18/ Sciences 2020 : du périmètre couvert par l’enquête
Europe et même aux Etats-Unis, briefings/schedule/#mental-health-
hacks-fighting-burnout-depression-and-
CESIN-Advens, car toutes sortes
on cite souvent les rapports rédi- → https://www.researchgate.net/ de métiers de la Cyber étaient in-
suicide-in-the-hacker-community-10659
gés par la société anglaise Nomi- publication/339029249_Psychological_ terrogées.
net1 et diffusé en février 2020 pour Profiling_of_Hacking_Potential
Il est à noter que l’ANSSI et la Au-delà de ces problématiques
1- https://media.nominetcyber.com/wp-content/uploads/2020/02/Nominet_The-CISO-Stress-Report_2020_V10.pdf DGEFP, en collaboration avec l’AF- similaires au sujet de la présente
2- https://www.blackhat.com/us-18/briefings/schedule/#track/community
20 21étude, la communauté s’est pen- Une autre thématique notable
chée sur des sujets qui font en- pourrait être celle de la « Cyber fa-
core beaucoup réagir en 2021 tigue », dont les premières occur-
comme la place des femmes dans rences sont issues d’un document
la cybersécurité mais également du cabinet KPMG paru en 20164.
l’inclusion et les profils « hors Ce concept désigne le mouve-
cadre », tels que les autistes et les ment « d’abandon d’une défense
Hauts Potentiels. Ce sujet de l’in- proactive face à des attaquants
clusion fait désormais l’objet de multiples ». Il semble cependant
travaux menés3 par Advens et le s’appliquer plutôt à une organisa-
CESIN. Les thématiques de l’inclu- tion qu’à un individu. Il est souvent
sion et ce dans différentes régions associé aux problématiques du
du monde ont été régulièrement SOC et de la multiplicité des tech-
abordées lors des autres éditions nologies à maitriser pour détecter
de cette conférence. et traiter correctement les inci-
dents. Il n’est pas lié à l’état ni à la
santé mentale des professionnels
du domaine.
3- https://www.advens.fr/fr/ressources/blog/tech-cyber-comment-rendre-la-cyber-plus-inclusive
4- https://assets.kpmg/content/dam/kpmg/ch/pdf/ch-cyber-fatigue-en.pdf
22 234
4.1- Rationnel et irra- 4.2- Échelle de mesure
tionnel du stress
L’étude a pour objectif initial d’iden- Depuis que les chercheurs se sont
tifier l’existence, ou non, d’une pro- intéressés à l’évaluation du stress,
blématique relative aux stress des les méthodes ont évolué car la
professionnels de la cybersécurité conception même du stress s’est
et liée à la nature de leur métier. modifiée. Dans les années 80, les
Si la plupart des personnes inter- chercheurs se sont aperçus que
rogées ne ressentent pas les effets l’impact d’une situation supposée
d’un stress négatif, le sujet ne né- stressante n’était pas le même se-
cessitera sans doute pas une ana- lon les personnes et surtout que
lyse plus en profondeur. « l’évaluation que l’individu portait
sur cette situation était détermi-
Il est donc primordial de commen- nante sur son vécu » (Lindsay &
cer par mesurer le niveau de stress Norman, 1980).
ressenti par les responsables Cy-
ber interrogés. C’est l’objet de la En 1983, Cohen, Kamarck, et Mer-
première partie de l’enquête. Le melstein proposent un question-
premier enjeu, pour ce faire, a été naire de stress perçu basé sur le
Connais-toi toi-même
le choix de la méthode. Le sujet modèle théorique transactionnel :
étant lié à un stress ressenti, par la Perceived Stress Scale (PSS) a
nature propre à chaque personne pour objectif « d’évaluer le degré
interrogée, il était nécessaire de selon lequel les personnes inter-
Évaluation du stress
définir une approche rationnelle et rogées estiment que leur vie est
idéalement universelle, facilitant la imprévisible, incontrôlable et sur-
comparaison et intégrant les biais chargée. » La PSS permet d’éva-
perçu
de perception. luer d’une façon globale si une
personne estime avoir la capacité
Pour y parvenir, l’apport des inter- à faire face ou non à des événe-
venants externes a été plus que ments ou à des moments difficiles
bénéfique et a permis le recours à vivre, sans toutefois les spécifier.
à une méthode reconnue dans le Cohen, Kamarck, et Mermelstein
domaine de l’évaluation du stress. (1983) présentent trois versions, en
Cette méthode a fait l’objet de la 14, 10 et 4 items sous les appella-
première partie du questionnaire, tions de PSS14, PSS10 et PSS4.
dont on retrouve les questions
dans la section suivante et les ré- Ces modèles ont été utilisés dans
sultats détaillés en annexe. de nombreux pays et déclinés
dans le monde professionnel. La
version française du PSS10 a fait
l’objet de plusieurs études et sa
24 25fiabilité/corrélation avec d’autres Dans le cadre de cette étude au- Les réponses aux questions sont Ceci est valable pour toutes les
modèles de référence a été dé- près des responsables Cyber, sont évaluées entre 0 (Stress bas) et questions sauf pour les quatre
montrée. incluses les 10 questions du PSS10 4 (Stress élevé). Dans le cadre de dites « inversées » (Q6, Q7, Q9,
parmi les 35 questions posées. l’étude, les points sont attribués Q10) ou Jamais = 4, Presque Jamais
selon l’échelle suivante : = 3 etc. En additionnant les scores
des 10 questions, nous obtenons
→ Jamais = 0, un total compris entre 0 et 40 pour
chaque participant.
Questions PSS10 → Presque Jamais = 1,
→ Parfois = 2, 4.3- Partage des résul-
Au cours du dernier mois vous êtes-vous senti contrarié ou énervé par
1 des événements non prévus ?
→ Assez Souvent = 3, tats
Au cours du dernier mois vous êtes-vous senti incapable de contrôler → Souvent = 4. Le résultat moyen par question est
2 les « fondamentaux » de votre métier/fonction/rôle ? exposé dans le tableau suivant
Au cours du dernier mois vous êtes-vous senti(e) nerveux(se) ou stres-
3 sé(e) ?
Moyenne
Questions PSS10
Au cours du dernier mois vous êtes-vous senti(e) pleinement capable des réponses
4 de gérer vos problèmes professionnels ?
Au cours du dernier mois vous êtes-vous senti
1 contrarié ou énervé par des événements non 2,63
Au cours du dernier mois avez-vous senti que les choses allaient prévus ?
5 comme vous le vouliez ?
Au cours du dernier mois vous êtes-vous senti
2 incapable de contrôler les « fondamentaux » de 2,12
Au cours du dernier mois avez-vous pensé que vous ne pouviez pas votre métier/fonction/rôle ?
6 assumer toutes les choses que vous deviez faire ?
Au cours du dernier mois vous êtes-vous senti(e)
3 nerveux(se) ou stressé(e) ?
2,58
Au cours du dernier mois avez-vous été capable de maîtriser (intérieu-
7 rement et extérieurement) votre agacement ?
Au cours du dernier mois vous êtes-vous senti(e)
4 pleinement capable de gérer vos problèmes 1,04
Au cours du dernier mois avez-vous senti que vous « maîtrisiez la professionnels ?
8 situation » ?
Au cours du dernier mois avez-vous senti que
5 les choses allaient comme vous le vouliez ?
1,47
Au cours du dernier mois vous êtes-vous senti(e) irrité(e) parce que les
9 événements échappaient à vôtre contrôle ?
Au cours du dernier mois avez-vous pensé que
6 vous ne pouviez pas assumer toutes les choses 2,53
Au cours du dernier mois avez-vous trouvé que les difficultés s’accu- que vous deviez faire ?
10 mulaient à tel point que vous ne pouviez plus les contrôler ?
26 270 16 22 40
Au cours du dernier mois avez-vous été capable
7 de maîtriser (intérieurement et extérieurement) 0,93
votre agacement ?
Zone Zone Zone
Au cours du dernier mois avez-vous senti que verte orange rouge
8 vous « maîtrisiez la situation » ?
1,40
Au cours du dernier mois vous êtes-vous senti(e)
9 irrité(e) parce que les événements échappaient 1,99 Si l’on remet en perspective les résultats avec des données normatives,
à vôtre contrôle ? on souligne le niveau collectif élevé.
Au cours du dernier mois avez-vous trouvé que
10 les difficultés s’accumulaient à tel point que vous 1,72
ne pouviez plus les contrôler ? En 1988, l’étude fondatrice
de Cohen et Williamson
portant sur un panel d’en-
Total 18,41 viron 3000 citoyens améri-
cains a permis d’établir une
« norme de stress » située Résultats enquête 2021
à 12,5. Selon les classes so- CESIN-ADVENS portant Seuil diagnostique clinique
ciales, sexe, niveau d’étude sur 330 participants (di- de la dépression (étude
etc. les scores moyens va- recteurs Cybersécurité et 2012 en France portant sur
Le score moyen sur le panel est commençant à provoquer des dé- rient entre 11 et 15. RSSI). 80000 personnes).
de 18,4. Cela constitue un niveau sagréments émotionnels et com-
collectif élevé. En effet, comme portementaux. Un score de 22/40
indiqué dans les graphiques représente le passage dans une 0 12,5 16 18,4 22 28 40
ci-dessous, un score de 16/40 re- zone à risque pour la santé phy-
présente le point d’inflexion entre sique et psychique.
un stress stimulant et un stress
Zone Zone Zone
verte orange rouge
De calme à stress « stimulant » ou 13 24
Zone verte Entre 0 et 16 « positif » En 2011, des données PSS10 ont été ré- Symptômes de burn-out, diminution des
cupérées auprès de 16853 salariés dans capacités d’empathie, de concentration et
Sentiment d’impuissance occasionnel 17 grandes entreprises françaises (> 1000 de récupération.
salariés) réparties sur 39 sites. La moyenne
entraînant des perturbations émo-
Zone orange Entre 16 et 22 tionnelles, situations parfois difficiles
s’établit autour de 13, avec un score de 12,2
pour les 8927 cadres/ingénieurs (soit en-
à gérer viron 50% du panel). On note un écart de
stress perçu entre les 7228 femmes (14,3)
Fort sentiment d’impuissance, sensa- et les 9625 hommes (11,7).
tion plus ou moins diffuse de menace,
risques sur la santé physique et men-
Zone rouge >22 tale (pression sanguine, IMC, efficacité
immunitaire, troubles du sommeil,
addictions...)
28 29Dans le détail, on se rend compte que la grande majorité (61%) des res-
ponsables Cyber interrogés subit un stress aux effets négatifs. Ce résul-
tat est très important car il indique que la population observée subit une Intensité du stress perçu
charge mentale qui provoque une souffrance.
par les 330 participants
92 personnes
(28%) 130 personnes
130 personnes, soit 39% du 108 personnes, soit 33% du 92 personnes, soit 28% du (39%)
panel se situe dans la zone panel se situe dans la zone panel se situe dans la zone Stress sous contrôle (PSS10curité pouvant s’appuyer sur une s’accompagner d’une certaine
Vert Orange Rouge équipe. Et cela est complété par le forme de précarité selon la struc-
fait que le statut de cadre dirigeant ture (« Le Directeur Cyber saute-
constitue une reconnaissance de t-il en cas de crise ?... »), ce qui
1000 à 10 000 employés 28% 31% 41%
la place du risque Cyber dans la pourrait représenter une source
défense des intérêts de l’entre- de stress.
10 000 à 100 000 employés 34% 36% 31% prise. Pour autant ce statut peut
Moins de 1000 employés 33% 32% 36%
Plus de 100 000 employés 40% 28% 32%
Les écarts du niveau de stress per- Le niveau de stress est-il corrélé
çus selon la taille de l’entreprise au métier ? Niveau de stress
ne sont pas flagrants. Néanmoins, par rapport au métier
De même, il a été mis en relation la
62% des personnes qui se situent
zone (vert, orange, rouge) corres-
dans la zone rouge sont dans des
pondant au niveau de stress perçu
entreprises de moins de 10 000
et le métier exercé par les répon-
employés, soit un peu plus que le
dants.
taux de personnes appartenant à
cette catégorie d’entreprises (56%).
81% des répondants sont soit RSSI,
soit Directeurs cybersécurité. Si
Une explication peut être que
l’on compare la répartition des
dans ces entreprises, il y a encore
niveaux de stress entre ces deux
en général de petites équipes cy-
grands métiers représentés dans
bersécurité, ce qui, d’une certaine
l’échantillon, on constate que la
façon, isole ou singularise ceux qui
proportion de personnes dans la
exercent cette fonction au sein de Vert Orange Rouge
zone rouge est plus élevée chez
leur entreprise. A cela peut s’ajou-
les RSSI.
ter le critère de la maturité. Dans
une structure de plus petite taille, Directeur Cybersécurité 35% 37% 28%
Les professionnels de la cybersé-
il peut arriver que les différentes
curité ayant le statut de cadres di-
activités du responsable Cyber ne RSSI 29% 32% 38%
rigeants sont soumis, semble-t-il,
soient pas totalement légitimées
à un niveau de stress moins élevé.
et nécessitent des travaux de prise
Cela rejoint d’une part l’explication
de conscience, qui peuvent in-
liée à l’analyse précédente sur la
duire une charge mentale.
dimension du sujet Cyber dans
l’entreprise, le Directeur cybersé-
32 33Le top 10 des répondants ayant dants) et aux experts en cybersé-
les plus hauts niveaux de stress curité (7% dans la zone verte, pour
4% des répondants), par rapport
Si l’on fait un focus sur les 10 per-
aux RSSI (58% dans la zone verte,
sonnes ayant le niveau ressenti
pour 63% des répondants).
de stress le plus élevé parmi les
330 répondants, on constate que
Les scores les plus élevés parmi
ces professionnels ont un niveau
les 10 questions
de stress supérieur à 30, ce qui
les classe dans une catégorie très Si l’on observe les questions ayant
à risque sur le plan de la santé obtenu le score moyen le plus éle-
physique et mentale. Le score de vé parmi les dix questions, on voit
stress ressenti le plus élevé est de qu’il est question de contrariété, de
34. nervosité et d’anxiété, mais égale-
ment le sentiment d’être débordé
Parmi ces répondants, 9 sur 10 par l’ensemble des tâches à faire.
sont des RSSI et le dixième est un Cet élément rejoint le sentiment
architecte en cybersécurité. Il n’y de découragement exprimé dans
a pas de Directeur cybersécurité la deuxième série de questions
dans cette population. concernant les facteurs de stress.
Si l’on examine les entreprises de
ces répondants les plus stressés,
8 entreprises sur 10 ont moins de
10 000 employés, alors que cette
taille d’entreprise ne concerne
que 56% des répondants. Les deux
autres ont soit entre 10 000 et 100
000 employés, soit plus de 100
000 employés.
Les niveaux de stress les plus
faibles
Si l’on examine la population de
la zone verte, dont le niveau de
stress ressenti est inférieur à 16,
on retrouve une distribution à peu
près équivalente à la distribution
globale des répondants quoique
légèrement favorable aux Direc-
teurs Cybersécurité (20% dans la
zone verte, pour 18% des répon-
34 355
5.1- Typologie des fac- 1. Coercition et surveillance : le
responsable Cyber définit des stra-
teurs de stress tégies de défense qui conduisent,
Une fois que le diagnostic est posé
→ D’une part, à interdire ou blo-
sur le niveau de stress ressenti,
quer certaines actions effectuées
l’objectif de l’étude est de trou-
par les employés (qui sont égale-
ver les facteurs contributifs de ce
ment ses collègues), à titre pré-
stress et qui seraient spécifiques
ventif, ce qui peut le faire appa-
du milieu de la Cybersécurité.
raître tel un censeur.
En effet, les métiers de la Cyber-
→ D’autre part, à collecter et ana-
sécurité s’inscrivent globalement
lyser des traces, donc avoir les
dans l’ensemble des métiers du
moyens d’observer les pratiques
numérique et rencontrent, de fa-
professionnelles et personnelles
çon générale, les difficultés cou-
des employés (car ceux-ci in-
rantes de ces métiers. Au-delà de
tègrent une part personnelle dans
ces difficultés qui ont déjà été lar-
leur usage des moyens informa-
gement étudiées et commentées,
tiques) et de constater des écarts
l’objectif de la présente étude est
par rapport à une politique interne
de se concentrer sur ce qui consti-
ou à des bonnes pratiques, ce qui
Un métier à risques
tue les particularités des métiers
peut donner lieu à des rappels à
de la Cybersécurité et qui est sus-
l’ordre voire des sanctions. Le res-
ceptible d’éprouver mentalement
ponsable Cyber peut alors appa-
ces professionnels. Il faut donc
Recherche des facteurs
raître alors comme un contrôleur
déterminer si les facteurs spéci-
(« big brother ») et un juge.
fiques de la Cybersécurité sont
réellement contributifs du stress
2. Complexité et évolutivité : la
de stress
ressenti, et si c’est le cas, lesquels
richesse technologique, l’intégra-
sont les plus aggravants. Ceci afin
tion massive de services dans le
d’orienter la recherche de pistes
cloud, les nombreuses attentes
permettant de traiter et réduire le
des clients internes et externes
stress ressenti.
font des systèmes d’information
des organisations actuelles, éten-
Pour cela, 22 questions ont été po-
dues et hyper-connectées, un
sées pour faire émerger une série
terrain complexe à protéger des
de critères spécifiques du métier
menaces qui évoluent sans cesse.
de la Cybersécurité. Ces questions
Cela mène à un contexte riche et
ont été regroupées en 8 familles
changeant, qui requiert un ques-
de critères :
tionnement permanent sur les
stratégies à adopter.
36 373. Transversalité : pour être suf- nibilité importante et requiert de Ces différents critères peuvent donc été pris en compte dans la
fisamment couvrante et efficace, proposer et/ou de prendre des placer le responsable Cybersécu- seconde partie de notre étude re-
la cyberdéfense doit être omni- décisions sous la pression et sans rité dans un contexte de doute, de lative à l’identification des facteurs
présente. Elle doit s’insérer de fa- avoir tous les éléments d’appré- crainte, d’instabilité, et de ques- contributifs au stress.
çon transverse à l’entreprise et à ciation. Elle s’appuie sur peu de tionnement sur ses valeurs. Ils ont
tous les niveaux, dans toutes les modèles historiques connus. Le
architectures, dans tous les com- manager Cyber gère ses crises
posants techniques, dans tous les en faisant au mieux pour éviter les
métiers, en intégrant bien sûr les biais cognitifs qui peuvent parasi-
facteurs humain et organisation- ter ou paralyser son action.
nel.
7. Communication et conviction :
4. Combat et adversité : le mana- parce qu’il s’adresse à de nom-
ger Cyber est confronté à une si- breux métiers de l’entreprise pour
tuation rare parmi les métiers de obtenir leur adhésion et leur contri-
l’entreprise, celle de devoir faire bution, le Responsable Cyber doit
face à des adversaires externes savoir communiquer et convaincre
et internes de l’entreprise. Une si- sur un domaine pouvant paraître
tuation qui le place dans un rôle austère, contraignant et faisant ap-
singulier de combattant. Par ail- pel à un nécessaire effort collectif.
leurs, compte-tenu du niveau de
menace actuel et de l’intensité de 8. Responsabilité et culpabilité : le
la cybercriminalité, ce combat est Responsable Cyber met en œuvre
une lutte asymétrique, face à une des plans d’action qui demandent
puissance d’attaque souvent bien des moyens financiers et humains,
supérieure à la capacité de dé- et sont susceptibles d’imposer des
fense d’une organisation donnée. contraintes opérationnelles. L’effi-
cacité de sa démarche est scrutée
5. Incertitude et inconnu : l’exer- et jugée. Même si ses stratégies
cice de la défense est confronté à sont pertinentes et d’un très bon
une incertitude permanente sur le niveau pour traiter les risques, l’en-
moment et la forme du prochain treprise ne peut être totalement à
incident. Ce qui oblige le manager l’abri d’une crise ayant un impact 5.2- Principaux facteurs ment peu influents sur le stress.
Si l’on évoque ces derniers fac-
Cyber à être prêt à toute éventua- significatif. Le manager est donc de stress teurs, on peut établir des mana-
lité et à tout moment, car il ne peut confronté à deux réactions poten-
jamais considérer qu’il est totale- tielles de doute et de jugement. S’il gers Cyber que :
Si l’on examine la moyenne des ré-
ment protégé. ne se passe rien, « à quoi tout cela ponses aux 22 questions relatives
sert-il vraiment ? » et s’il advient → Ils sont relativement à l’aise
à ces critères, on constate que 17
6. Gestion de crise : la gestion de une crise majeure, « tout cela n’a avec les secrets qu’ils détiennent
questions obtiennent un résul-
crise est une composante impor- servi à rien ». Un cocktail avec un (Q15)
tat en faveur d’une contribution
tante des métiers de la cybersé- zeste parfois amer de sentiment au stress alors que 5 questions
curité. Elle nécessite une dispo- d’inutilité et de culpabilité… → Ils ne se sentent pas forcément
concernent des facteurs finale-
frustrés de ne pouvoir contre-atta-
38 39Vous pouvez aussi lire
