Les filières sécurité au bord du burn-out – tentatives d’explication

Cyberrisk Management & Strategy

Publié le

Arrêts maladie à répétition, insomnies, repli sur soi-même… je suis frappé de voir à quel point les filières sécurité des entreprises sont sous forte pression depuis quelques années ! Alors évidemment, on entend partout que les menaces s’intensifient et que les RSSI craignent de voir leur responsabilité personnelle engagée en cas d’incidents… mais cela ne suffit pas à expliquer ce phénomène. En tous cas, ce n’est pas forcément ce qui revient en premier lorsque j’échange avec des clients au bord du craquage. Les grands classiques seraient plutôt : « Ce que je fais ne sers à rien », « mes objectifs changent tout le temps », « je ne comprends pas ce qu’on attend de moi », ou encore « je suis coincé, je n’ai aucune perspective »… Force est de constater que le niveau de stress est davantage lié au fonctionnement de la filière et aux pratiques de management, plutôt qu’à la nature même des activités menées. L’année dernière, une étude de Nominet montrait que 23% des RSSI en 2020 reconnaissent consommer médicaments et/ou alcool et drogues pour tenir. Et très clairement, le phénomène n’est pas limité aux seuls RSSI, mais bien à toute la communauté SSI (analystes SOC, chefs de projet, experts…). Mais comment avons-nous pu passer en moins de 10 ans d’équipes passionnées, soudées… à une telle situation RH ? Tentatives d’explications – et pistes de solutions – dans cet article !

Encore trop peu d’entreprises ont structuré une démarche RH pour la filière cyber

En tant que consultant, je peux en témoigner : les demandes d’intervention se font très rares au sujet des politiques RH, parcours de formation, pratiques managériales…

 alors qu’évidemment le bon fonctionnement de la filière et le bien être des collaborateurs ont un impact certain sur le niveau de sécurité à moyen-terme. Les sportifs le savent très bien : l’état d’esprit dans le vestiaire a une influence majeure sur le résultat final !

Face à ce constat, quelques grands comptes ont passé un cap intéressant : ils ont intégré ces sujets de fonctionnement RH directement dans leur Framework de maturité (NIST, ISO…). C’est en effet une excellente idée permettant de traiter en quelques semaines des sujets essentiels via une organisation et des processus déjà établis (assurance, revue de preuves, programme cyber…). Autre avantage : le Framework est souvent un input essentiel à la construction de la stratégie, et cette dimension RH se retrouve ainsi par rebond directement intégrée au plan pluri-annuel de certaines entreprises. Des objectifs concrets et mesurables sont définis pour le turn-over, la motivation des employés ou encore l’équilibre vie-pro / vie-perso… et ces éléments sont présentés régulièrement au top management aux côtés du taux de patching, de la convergence zero-trust et des capacités de résilience !

Croyez-moi : lorsque le bien être physiologique des employés est intégré aux objectifs de la filière, et donc par la même occasion à ceux des RSSI… et bien tout fonctionne presque comme par magie 😉 Mais encore faut-il adresser les bons sujets !

Les priorités : Valorisation de l’expertise, encouragement à la mobilité et alignement des salaires

Pentesters, analystes CERT, spécialistes DevSecOps… les filière sécurité sont composées d’une multitude d’experts, qui ne sont pas toujours reconnus, valorisés et animés avec pertinence. De trop nombreuses entreprises ont encore malheureusement une tendance naturelle à survaloriser le management au détriment de l’expertise. Il est donc indispensable de créer un écosystème favorable aux experts dans les filières SSI ! Le champs des possibles est vaste : mise en place de parcours de carrière spécifiques, accès encouragé à la certification, engagement des communautés d’expertise sur les décisions majeures, valorisation externe (conférences, médias)… n’attendons pas que les experts partent pour prendre conscience de leur valeur !

Le sujet des mobilités est également essentiel. Il existe en effet un sentiment d’étouffement au sein de la filière : la tension sur les ressources cybersécurité est tellement forte que de nombreux employés ont le sentiment d’être bloqués sur leur poste, sans la moindre possibilité d’évolution. Résultat : le moral baisse, les gens tournent en rond, se posent des questions, critiquent… un climat tout sauf sain. Pourtant, la solution est assez évidente : encourager, voire imposer les mobilités. Certains grands comptes ont par exemple mis en place récemment une gouvernance incitative permettant aux RSSI de proposer spontanément des mobilités et de s’échanger des ressources. 3 ans en tant que chef de projet, 2 ans dans le SOC, 3 ans de sensibilisation, 2 ans sur des sujets réglementations … le sujet de la cybersécurité est suffisamment vaste pour créer des carrières riches et passionnantes ! D’expérience, une filière en bonne santé est une filière avec un taux de mobilité d’au moins 10%.

Enfin, il faut parler des salaires ! Faites le test : prenez deux RSSI au sein d’une grande entreprise (ça marche aussi pour les Directeurs de Programme sécurité, les chefs de projet, les auditeurs…) et interrogez-les sur leur niveau de rémunération. Vous allez être surpris : les écarts sont majeurs d’une entité à l’autre, et la structure même du salaire peut différer. A titre d’exemple, j’ai rencontré récemment deux RSSI aux profils équivalents au sein d’une même entreprise : le premier était payé sur une base fixe uniquement, et le second possédait un bonus de 50% sur des objectifs personnels fixés par le DSI. Et évidemment… ils le savaient tous les deux ! Impossible de créer un esprit d’équipe et une solidarité dans de telles conditions. Alors évidemment ce chantier n’est pas simple, mais il mérite d’être instruit avec les RH, d’autant plus dans un contexte de fortes mobilités qui feront nécessairement apparaitre des situations compliquées.

Les collaborateurs ne comprennent plus leur organisation et en souffrent

Ces dernières années, la sécurité a pris une toute autre dimension : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3 000 employés, avec une moyenne tournant aux alentours de 1 pour 1 000. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! L’époque de la petite équipe de 15 passionnés au sein des opérations de la DSI est révolue. Place aux 27 RSSI, 3 SOC, 2 CERT, 10 Directeurs de Programme et 4 centres d’expertise… qui passent leur temps à chercher leur périmètre et à se marcher dessus. Une simple décision peut prendre des semaines… et les employés n’en peuvent plus !

Il devient urgent de reconstruire un modèle opérationnel plus lisible. Plus question de laisser des employés seuls sur leur périmètre d’expertise, la tendance est à la mutualisation et à la suppression des redondances : 1. Regroupement des centres d’expertise (audit, Cloud…) 2. Création d’un unique centre de cyberdéfense (SOC, CERT…) 3. Structuration d’un unique Programme de Cybersécurité à portée Groupe 4. Mise en commun de la PMO dans une Reporting Factory.

Ce type de regroupement permettra de créer une émulation, d’embarquer et de donner du sens collectif. Sur les récentes réorganisations, on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse.

Alignement des salaires, re/up-skilling, plans de formation/certification, processus de mobilité, réorganisation de la filière…les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière. Mais attention : ce travail ne peut être porté uniquement par les fonctions RH. Il est essentiel que le RSSI et les managers d’équipe soient impliqués fortement pour établir les efforts dans la durée. D’autant plus que certains conseils cités ci-dessus s’appliquent également à eux… tellement de RSSI sont en place depuis plus de 10 ans sur le même poste ! 😉