Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Cybersécurité, un stress devenu insoutenable
D’ici 2025, près de la moitié des responsables de la cybersécurité changeront d’emploi. Et 25 % se réorienteront en raison du stress lié au travail, estime Gartner, Inc.
« L’épuisement professionnel et l’attrition résultent d’une mauvaise culture organisationnelle ! Tenter d’éliminer le stress est un leurre. Le stress sera toujours là. Travailler dans un environnement incroyablement stressant est possible, c’est affaire de stimulation. Et donc de soutien. Soutenez vos équipes et ça ira ! »
Le ton est donné. Pour Deepti Gopal, Director Analyst, Gartner Research, trop de CISO sont sur la défensive, avec pour seule crainte d’être piratés. « L’impact psychologique qui en résulte affecte directement la qualité des décisions et la performance des équipes. » Il en résulte une mauvaise dynamique. Plus, sachant les opportunités de marché massives pour les professionnels de la cybersécurité, un roulement des talents.
Les programmes de cybersécurité axés sur la conformité ne résolvent rien. Avant tout, estime Gartner, l’effort doit porter sur l’engagement de la direction, son soutien. Une prise de conscience et des actions. Sans quoi, l’entreprise risque de connaître une attrition plus élevée à mesure que les talents partent pour des postes où leur impact se fait sentir et est valorisé.
L’humain, le point d’exploitation le plus vulnérable
Gartner parle d’« échec humain ». Et prédit que, d’ici 2025, le manque de talents sera responsable de plus de la moitié des cyber-incidents importants. Le nombre d’attaques cybernétiques et d’ingénierie sociale contre les personnes augmente. Et risque d’augmenter plus encore. Les acteurs de la menace tirent profit de la situation, de l’échec. Ils considèrent de plus en plus les humains comme le point d’exploitation le plus vulnérable, assure Deepti Gopal.
Ce non-engagement a été évalué. Une enquête Gartner menée en mai et juin 2022 auprès de 1310 employés a révélé que 69 % des employés ont contourné les directives de cybersécurité de leur organisation au cours des 12 derniers mois. Dans l’enquête, 74 % des employés ont déclaré qu’ils seraient prêts à contourner les conseils en matière de cybersécurité si cela les aidait, eux ou leur équipe, à atteindre un objectif commercial…
« De là, de possibles frictions, observe Paul Furtado, VP Analyst, Gartner. Celles-ci ralentissent les collaborateurs. Et peuvent conduire à des comportements précaires. Soit un facteur important de risque interne encore trop souvent sous-estimé… »
Tenir compte du risque interne
Ca changera, bien évidemment. Mais il faudra encore du temps. Si, aujourd’hui, pas plus de 10 % des entreprises ont adopté des programmes formels pour gérer les risques internes, une organisation sur deux s’investira en 2025.
Un programme ciblé de gestion des risques internes doit identifier de manière proactive et prédictive les comportements susceptibles d’entraîner l’exfiltration potentielle des actifs de l’entreprise ou d’autres actions préjudiciables et fournir des conseils correctifs, et non des sanctions.
« Les CISO doivent de plus en plus tenir compte des risques internes lors de l’élaboration d’un programme de cybersécurité, poursuit Paul Furtado. Or, les outils de cybersécurité traditionnels ont une visibilité encore limitée sur les menaces qui viennent de l’intérieur… »