Existe-t-il une fatigue professionnelle propre au secteur de la cybersécurité ? Deux experts de la qualité de vie au travail ont creusé la question.
« Celui qui tire sur la corde ». C’était le sujet du dernier rendez-vous #securityTuesday, organisé par l’ISSA France. L’association souhaite sensibiliser le grand public à la sécurité numérique. Deux spécialistes des risques psycho-sociaux étaient invités pour en parler : Christine Pekar et François Tillot, directeurs associés de Cap-Créane. Ces deux consultants du bien-être en entreprise ont cherché les facteurs de stress liés au travail dans le secteur de la cybersécurité. Comment détecter les signaux faibles et surtout comment agir ? Une question que devrait se poser tout dirigeant d’entreprise car comme le rappelle François Tillot : « L’employeur est responsable de la santé et de la sécurité de ses employés. C’est une responsabilité collective, pas individuelle. »
Pour prendre du recul, les deux spécialistes en Qualité de Vie au Travail plantent le décor. Malgré une forte effervescence autour du métier de RSSI (responsable de la sécurité des systèmes d’information), profession encore récente, le domaine pêche à attirer les jeunes travailleurs. Dans les écoles, les étudiants-ingénieurs préfèrent bien souvent le développement, matière plus créative et valorisante. C’est du moins ce que remarque Hadi El-Khoury, cofondateur d’ISSA France : « Ce n’est pas un métier vers lequel les jeunes se ruent : l’effort d’évangélisation est en opposition avec le tsunami médiatique sur le sujet ! »
De plus, l’évolution des métiers dans la cybersécurité reste floue. Avec la montée en puissance de l’intelligence artificielle, et l’interconnectivité permanente des équipes, la sécurité informatique ne s’arrête plus aux frontières de l’entreprise. Avec les objets connectés, on doit aussi maintenant s’assurer que les données des clients seront protégées après l’achat.
Glissement de terrain
Le rôle du RSSI dans une entreprise est aussi à prendre en compte. Déjà, on a glissé d’un simple rôle de technicien (« le sachant ») à un poste plus intégré dans les décisions, la gestion de projet, le management. Or, un bon technicien des systèmes d’information n’est pas forcément un bon manager. Ses messages peuvent être inaudibles aux yeux des décideurs. Il arrive parfois au responsable de la cybersécurité de crouler sous les incidents, en cas de grosses attaques. Parfois même de ne pas avoir les moyens techniques pour y faire face, malgré toute leur bonne volonté. C’est aussi un métier où il est important d’oser dire : « Je ne sais pas. » L’accumulation de tous ces facteurs participent à une forme de malaise, potentiellement source de stress.
Rappelons ici que le stress est une situation « ressentie par une personne ». Il est donc vécu différemment pour chaque individu, en fonction de leur propre sensibilité. Le stress est « une situation où une personne a le sentiment qu’il n’a pas les ressources nécessaires pour faire ce qu’on lui demande », précise Christine Pekar.
Source de motivation
C’est parfois l’employé lui-même qui se donne une certaine dose de stress. En effet, l’un des ressorts de la motivation des individus est le challenge. Le besoin de faire quelque chose de plus difficile que ce qu’on a réussi à faire précédemment. Si la hiérarchie ne donne pas d’objectif de performance, le travailleur va se trouver un motif pour lui-même. Une pression parfois plus importante que si l’entreprise lui imposait des objectifs précis.
C’est pourquoi, la définition d’objectifs est nécessaire au maintien d’un bon niveau de bien-être dans une entreprise. Christine Pekar rappelle que dans 80% des cas, les sources de stress s’améliorent en parlant de l’organisation, du management, des relations au travail… Avant d’employer des Happiness Officer à tout va, il faut s’assurer que les fondations sont solides.
Le casse-tête de la fiche de poste
La réflexion du bien-être au travail doit commencer lors de la rédaction de la fiche de poste. Comme dans beaucoup de domaines liés aux nouvelles technologies, les entreprises cherchent des « moutons à cinq pattes » dans la cybersécurité. Le ou la candidate a déjà eu probablement des difficultés pendant son recrutement. Dès le premier jour, il se retrouve avec une épée de Damoclès sur la tête. Le mouton à cinq pattes n’existe pas…
Les langues se délient de plus en plus dans le secteur, comme le démontre le numéro du podcast No Limit Secu, consacré au sujet : « La cyber sécurité rend-elle maboule ? ». Les principaux concernés font leur introspection, le temps d’un débat. L’un d’eux touche une corde sensible : « On vit dans un monde plus fantasmagorique que la majorité des jobs. Cela génère une dissonance cognitive, entre la réalité du terrain et l’image qu’on te renvoie de ton propre job. Toi, tu as l’impression d’être le hacker solitaire qui va sauver le monde ou le détruire selon le camp que tu as choisi, mais au final, tu te retrouves à faire des slides et écrire des rapports. Ou faire de l’audit de code java. »
Pour conclure, la reconnaissance, comme dans bien d’autres domaines, est essentielle. La culture cybersécurité d’une entreprise doit être véhiculée par le haut de la pyramide, pour être en tout point efficace. Une bonne habitude à prendre pour que le RSSI ne passe plus, aux yeux de ses collègues, pour celui qui retarde la sortie d’un produit sur le marché.
Photo credit: TTC Press Images on Visual Hunt / CC BY-SA