La nuit, tous les cyberchats sont gris. Et toutes les nuits des responsables de la sécurité informatique sont blanches. Épuisés, les RSSI (responsables de la sécurité des systèmes d’information) sont plus de la moitié à vouloir quitter leur métier. Certains pour une reconversion totale. À l’occasion du Forum international de la cybersécurité (FIC) à Lille, une journaliste des Echos a voulu reprendre la température de la profession et le constat est clair. La fièvre s’est installée dans le secteur de la cybersécurité. Les conséquences de ces symptômes seront d’autant plus graves.
Comme un symbole, la métropole de Lille qui accueille le FIC subissait le mois dernier une cyberattaque d’envergure. Situation bien représentative de ce qu’il se passe à l’échelle du pays : malgré la très grosse couverture des risques informatiques auxquels nous faisons face, à l’échelle individuelle comme à celle d’une entreprise, la profession est encore loin d’être aux centres des attentions. Le risque de burn-out est particulièrement élevé, derrière les paillettes du “bouclier-cyber” du gouvernement, ou encore de l’inauguration du Campus Cyber.
Solitude trop grande, responsabilités trop élevées
Une première étude, publiée en novembre l’année dernière par Mimecast, montrait déjà les souffrances des membres de la profession. Entre l’évolution des risques et celui des mentalités, le décalage a créé du dégoût chez les spécialistes qui se retrouvent très vite isolés, en manque de moyen, mal compris et épuisés. Contrairement à d’autres postes, leurs responsabilités sont encore plus importantes aussi. Parfois, ils sont seuls pour veiller à la protection de boîtes à plus de 1000 employés.
“On fait un des rares métiers du civil où on lutte contre des risques d’origine malveillante. Des risques qui peuvent potentiellement mettre à l’arrêt toute l’entreprise”, expliquait Jean-François Louapre, consultant en cybersécurité, au journal Les Echos. Beaucoup veulent quitter la profession, pour ne plus devoir porter le fardeau sur leurs épaules. Tel un aveu de faiblesse, c’est au sein de l’Association des victimes de cyberattaques que les témoignages pullulent.
En plus du risque de “le prendre personnellement”, si une cyberattaque venait à infecter les systèmes informatiques de leur entreprise, ces responsables de la cybersécurité risqueraient de “servir de fusible”, relatait Delphine Chevallier, la présidente de l’association. Un non-sens total, alors qu’il ne sera certainement pas du ressort du spécialiste mais de l’absence de moyens nécessaires de l’entreprise pour contrecarrer les attaques.
Gérôme Billois, associé chez Wavestone, précisait que seulement 50 % du budget requis pour répondre aux standards internationaux pour faire face aux cyberattaques sont prévus en moyenne chez les entreprises françaises. Les responsables doivent donc faire avec une trousse à outils bien vide tout comme des salaires particulièrement faibles. Entre les Etats-Unis et la France, sur cette question, c’est le jour et la nuit : les meilleurs profils sont payés 800 000 euros par an outre-Atlantique, contre entre 70 000 et 200 000 euros côté français.
Sauver les RSSI
Lors d’une table ronde, sur laquelle s’est penchée la journaliste des Echos lors du FIC à Lille, les discussions tournaient sur les pistes de solution pour sortir de ce fardeau. Outre la nécessité de débloquer des budgets plus élevés, il était discuté de la nécessité de modifier l’organisation entre les RSSI et la direction. Objectif : rehausser leur place à juste titre, leur offrir de quoi prendre des mesures sans discuter. En faire la priorité, aussi. Le tout, pour converger vers une “reconnaissance en interne”, comme le mentionnait le journal économique.
L’urgence est grande alors que les jeunes diplômés ne se bousculent pas pour postuler à ce genre de poste. Beaucoup sont aussi motivés à faire leurs valises et aller s’installer dans d’autres pays où les dangers informatiques sont davantage pris au sérieux. En attendant, l’Union européenne, à l’échelle de ses états membres, présentera le 18 avril prochain un “bouclier cyber” pour répondre de sa souveraineté et épauler les PME qui n’accorderaient pas suffisamment d’attention aux risques encourus.
Le bouclier-cyber devrait coûter à l’UE plus d’un milliard d’euros. Il sera géré dans 5 à 6 centres opérationnels, et vise surtout à améliorer la détection de cyberattaques en amont. Répartis sur le territoire, les centres opérationnels “veilleront à la sécurité des réseaux, basés sur des supercalculateurs et de l’IA, capables de détecter des comportements malveillants en quelques heures”, déclarait au début du FIC à Lille le commissaire européen chargé du Marché intérieur, Thierry Breton.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Voilà, tout est dit.
Ceci est valable pour d’autres domaines des nouvelles technologies.
Les institutions et la presse en font des tonnes avec une communication élogieuse alors que la réalité sur le terrain est tout autre.
Que du bullshit marketing dans un but souvent financier.
Juste une petite correction, ce n’est pas la métropole de Lille qui a subi une attaque majeure mais la Mairie de Lille.
Bonjour,
A fins de transparence, avez-vous touché une compensation d’Avisa Partners en échange de la publication de cet article ?