Une enquête réalisée en 2020 auprès des RSSI avait révélé que près de 90 % d'entre eux s'estimaient soumis à un niveau de stress modéré ou élevé. Une même enquête menée en 2021 par ClubCISO a montré qu'au cours des 12 derniers mois, les niveaux de stress avaient augmenté de manière significative chez 21 % des personnes interrogées, aggravant ainsi les problèmes de santé mentale. Deux ans après le début de la pandémie, les niveaux de stress des cadres travaillant dans les domaines de la technologie et de la sécurité sont toujours élevés. En cause, cette fois, une pénurie mondiale de compétences, des restrictions budgétaires et une augmentation toujours plus rapide et étendue des menaces de sécurité, des situations qui mettent la résilience à rude épreuve. « Dans toutes les équipes de cybersécurité dans lesquelles j'ai travaillé, la gestion du stress a toujours été une préoccupation commune », explique Kerissa Varma, directrice générale de la cybersécurité chez Vodacom. « Certains gèrent ce stress mieux que d'autres, mais on m'a très souvent demandé comment j'avais pu tenir aussi longtemps dans ce travail, compte tenu de tout ce qu'il implique », poursuit-elle.

Helen Constantinides, DSI chez AVBOB Mutual Assurance Society, comprend parfaitement bien ce cyber-stress et l'épuisement professionnel qui en résulte. « Nous ne devons pas oublier qu'il ne s'agit pas uniquement de technologie », souligne la DSI. « Cela implique aussi des personnes », a-t-elle ajouté. Selon le rapport « 2020/21 State of the Profession » du Chartered Institute of Information Security (CIISec) sur l'état de la profession, qui a interrogé 557 professionnels de la sécurité, le stress et l'épuisement professionnel sont devenus des problèmes majeurs, près de la moitié (47 %) travaillant plus de 41 heures par semaine, et certains jusqu'à 90 heures. Alors, que peuvent faire les DSI pour réduire leur temps et leur charge de travail, limiter l'incertitude dans des environnements en sous-effectif et sous-financés ? Ces quatre conseils d'experts apportent quelques réponses.

1. Encourager ses équipes à ralentir

« Parce que les hackers ne travaillent pas aux heures de bureau courantes, ils laissent peu de répit aux professionnels de l'IT et de la sécurité de l'information, qui ne se reposent généralement pas suffisamment », pointe Itumeleng Makgati, responsable de la sécurité de l'information du groupe à la Standard Bank. « À des postes comme les nôtres, nous nous devons d'être réactifs, productifs et pleins d'énergie », a-t-elle déclaré. « Or il est impossible de faire tout ça si l'on manque de repos », a-t-elle ajouté. Selon elle, les DSI doivent systématiquement pousser les gens à faire des pauses et à se ressourcer, ce qui peut sembler contre-intuitif. Mais, parce que les exigences de ce type de travail sont plus élevées, il faut faire davantage d'efforts pour préserver la santé mentale. En organisant par exemple des événements d'équipe, des réunions, ou en permettant tout simplement au personnel de prendre des congés pendant les périodes creuses. « J'essaie d'organiser des réunions en personne dans un parc voisin, de façon à avoir ma dose de nature quotidienne et de stimuler mes pensées créatives », confie Anna Collard, vice-présidente senior en stratégie de contenu et évangéliste chez KnowBe4 Africa, la plus grande plateforme de formation à la sécurité et de simulation de phishing au monde.

2. Encourager la collaboration

« Chercher à étendre et à compléter son équipe en faisant appel à des partenaires de confiance comme les services de sécurité managés », telle est la recommandation de Helen Constantinides. « L'idée est de collaborer localement et mondialement pour inciter à penser autrement, étoffer le vivier de talents et aborder les choses un peu différemment », a-t-elle ajouté. Dans ce contexte, les DSI doivent s'assurer d'avoir mis en place les bonnes technologies pour protéger leurs vulnérabilités les plus critiques, et évaluer, classer et répondre aux risques en temps réel pour alléger le stress des équipes IT. « Compte tenu de la pénurie de compétences qui pèse sur les équipes disposant de peu de ressources, l'automatisation peut s'avérer utile », suggère de son côté Kerissa Varma. « L'automatisation est un excellent moyen d'optimiser des ressources limitées dans des domaines qui apportent le plus grand bénéfice », ajoute-t-elle. « Elle améliore aussi considérablement le moral du personnel, car elle permet à chacun de se concentrer sur des tâches plus intéressantes ».

3. Décourager le multitâche

Selon Itumeleng Makgati, les DSI et les responsables IT doivent encourager leurs équipes à adopter le « monotâche ». Une hiérarchisation claire des tâches, une par une, avec la définition d'étapes qui ne se chevauchent pas, peut contribuer à réduire le stress des équipes. « Un autre très bon moyen d'atténuer le stress inutile est d'éviter de confondre ce qui est urgent et ce qui est important », ajoute-t-elle. Selon Anna Collard de KnowBe4 Africa, le fait d'être multitâche et de ne pas être pleinement présent rend une entreprise plus vulnérable à l'ingénierie sociale. « Je m'en suis rendu compte quand j'ai échoué à l'un de nos tests internes de simulation de phishing », relate-t-elle. « Je me suis laissée piéger par un courriel de phishing, non pas parce que je ne connaissais pas les dangers de l'ingénierie sociale ou que je ne savais pas comment repérer les signaux d'alarme, mais parce que j'étais distraite. Je faisais plusieurs choses à la fois et j'étais un peu anxieuse à ce moment-là », explique-t-elle. « Il est primordial que les dirigeants communiquent sur les éléments à livrer en priorité », insiste également Kerissa Varma. Ne pas le faire peut créer de la confusion et conduire les équipes à effleurer la surface dans un certain nombre de domaines, sans jamais vraiment résoudre les choses efficacement. « Il faut être clair sur les tâches à réaliser en priorité par les équipes et l'entreprise dans un délai donné », note-t-elle. « C'est essentiel pour permettre à une équipe de se concentrer et d'exécuter ses tâches de la manière la plus rapide possible et pour que l'entreprise comprenne les risques », observe Kerissa Varma de Vodacom.

4. Faire preuve d'empathie et de compassion

« Adopter la bonne approche et prendre la bonne décision en réunion peut avoir un impact immense pour prévenir des situations stressantes auxquelles seront confrontées les équipes », constate Kerissa Varma. Anna Collard ajoute que la création d'une culture de la sécurité relève davantage de la psychologie humaine et des sciences du comportement que de la technologie. Les DSI et les responsables IT doivent donc comprendre les motivations, les attentes et les difficultés de chacun, et créer un mécanisme de soutien pour optimiser le potentiel individuel et collectif. « Il est clair que chacun traverse des épreuves et qu'un peu de compréhension contribuera grandement à faire que les équipes se sentiront soutenues », estime Itumeleng Makgati.