Discussion :

[Sandra Coret]

Le stress contraint plus de 45 % des travailleurs de la cybersécurité à quitter le secteur de la technologie, l'une des principales raisons de ce stress est la menace persistante des ransomwares

Selon une étude de Deep Instinct, plus de 45 % des travailleurs issus des entreprises de cybersécurité quittent le secteur de la technologie comme des mouches. En outre, le rapport intitulé Voice of SecOps s'est efforcé d'examiner les niveaux de stress.

des milliers de professionnels de la direction et d'autres professions de premier plan dans le domaine de la cybersécurité abandonnent ou prévoient de le faire très prochainement, en raison de la quantité importante de stress liée à leurs activités.

Les statistiques de l'étude montrent que plus de 45 % des travailleurs ont démissionné et que 46 % d'entre eux connaissent une autre personne qui a quitté le secteur au cours de l'année écoulée, le stress étant le principal facteur déterminant de leur décision.

L'une des principales raisons de ce stress sans précédent est la menace persistante des ransomwares. Mais d'autres causes courantes sont les attentes élevées des analystes, qui doivent être toujours disponibles pour répondre à diverses préoccupations ou questions liées à leur travail.

Toutes ces constatations ont mis en lumière les nombreuses approches classiques en matière de sécurité, telles que la génération d'alertes communes ou l'utilisation d'une multitude de solutions de surveillance qui ne sont peut-être pas très durables.

En outre, les raisons les plus courantes sont liées au fait que de nombreuses organisations de premier plan ne sont pas bien adaptées pour faire face à l'augmentation des ransomwares malveillants. Et en général, cela ne fait qu'ajouter aux malheurs et aux inquiétudes de nombreuses personnes dans l'environnement de travail.

Au final, on assiste à des démissions en grand nombre, les équipes de sécurité ne pouvant rien faire d'autre que de baisser les bras et de partir.

L'étude ne soulignera jamais assez à quel point le stress joue un rôle négatif dans le monde numérique et combien il est difficile pour certains professionnels de la cybersécurité de travailler constamment dans la crainte ou la pression constante de contrôler de telles situations.

L'impact n'est pas seulement désastreux, mais justifie une attention immédiate. Il en va de même pour les divers intervenants du secteur de la sécurité, qui se retrouvent une fois de plus à l'extrémité du spectre. Ces personnes finissent soit par être contraintes de payer une rançon, soit par courir le risque de ne pas écouter les demandes qui leur sont faites.

Et s'ils cèdent et paient la rançon, ils risquent de faire confiance à un intrus capable de décoder les données volées et de les utiliser à des fins illégales.

N'oubliez pas qu'il est très rare, voire impossible, de voir des pirates ou des attaquants honorer leurs propres conditions et respecter les paiements qu'ils reçoivent.

En moyenne, selon l'étude, 38 % des professionnels de la cybersécurité admettent avoir payé une rançon à un moment donné de leur vie. Parallèlement, environ 46 % ont déclaré que leurs données avaient été exposées par d'autres attaquants, tandis que 44 % affirment qu'ils n'ont tout simplement pas pu remettre leurs données sur les rails.

N'oublions pas non plus la pression supplémentaire qui découle du fait que les agents de cybersécurité doivent assumer la responsabilité si les choses ne se déroulent pas comme prévu lors de la négociation ou de la remise en état avec les pirates.

Le monde d'aujourd'hui dépend des résultats et lorsque des objectifs spécifiques ne sont pas atteints, la pression de cet échec peut vraiment peser sur les experts en sécurité. Après tout, ils sont humains et certaines attaques les prennent aussi par surprise.

Il y a la pression de travailler au moins 18 heures par jour, et puis il y a un moment où vous pouvez finir par cliquer sur un lien qui est considéré comme malveillant ou une menace pour les autres. Si ce n'est pas ce qu'on appelle des conditions de travail difficiles et stressantes, on ne sait pas trop ce que c'est.

Alors, quelle est la solution puisque l'on est tous bien conscients de la menace ? la réponse est assez simple et consiste à prévenir l'apparition de telles menaces.

Oui, c'est plus facile à dire qu'à faire, mais les analystes doivent gérer de manière proactive les différentes attaques qui se présentent, et identifier très tôt les cibles vulnérables est une bonne idée.

Ensuite, les entreprises doivent prendre le temps de former leurs employés aux meilleures pratiques de sécurité. Enfin, les entreprises doivent investir dans de meilleures technologies qui réduisent les menaces et les incidents faux positifs. Ce n'est qu'alors que nous pourrons voir la situation s'améliorer.

Source : Deep Instinct

Et vous ?

Trouvez-vous ce rapport pertinent ?
Qu'en est-il au sein de votre entreprise ?

Voir aussi :

L'augmentation de la charge de travail et les pressions de la transformation numérique créent du stress chez les développeurs, selon une nouvelle étude de MuleSoft

Emploi : 64 % des travailleurs envisagent de démissionner si on leur demande de retourner au bureau à temps plein, dans un contexte où les entreprises multiplient les appels au retour sur les sites

L'ex-directeur des ressources humaines de Google affirme que le travail hybride ne durera pas, il pense que cela aura des effets négatifs sur le moral et à la productivité des employés

[Pierre Louis Chevalier]

S'il y a 45% d'abandons la filière est pas prête de combler l'énorme déficit en spécialises en cybersécurité
Les gangs de ransomware vont continuer de faire fortune du coup

[daerlnaxe]

Bon, ben moi qui pensais sous réserve d'arriver à me trouver une entreprise en alternance pour un diplôme admin réseaux à passer ensuite dans la cybersécurité... Je crois que je vais y réfléchir à deux fois au minimum.

[Mingolito]

C'est une question d'état d'esprit, si tu peux avoir un salaire énorme qui n'est pas basé sur une obligation de résultats, et que si un ranswomware arrive à passer, que la société doit payer une rançon de 10 millions d'euros, mais que tu as décidé que tu en a rien à foutre, tu peux continuer de buller dans ton bureau et de jouer à des jeux vidéo tranquille

De toute façon dans plus de 99% tu n'y sera pour rien, le coupable ça sera le patron qui a cliqué sur un email de drague sexy avec une pièce jointe qu'il n'a pas manqué d'ouvrir, et qui a mis comme mot de passe 123456 sur ses accès admins

Trolldi : Vous n'êtes pas seul, même les PDG utilisent le mot de passe "123456"
90 % des utilisateurs surestiment leurs connaissances en matière de cybersécurité, commettant des erreurs courantes dans certaines des tâches les plus faciles

[smarties]

Je pense que quand on travaille dans la cybersécurité, si un tiers ne veut pas changer sa manière de fonctionner ou crée des passes droits, on ne peut rien y faire à part noter par écrit afin de laisser une trace.

Dans une de mes précédentes entreprises, il a fallut que je me batte pour descendre les compte Windows en tant qu'utilisateur normal. Le compromis a été que les commerciaux puissent installer des logiciels tiers donc ils étaient forcer de passer par un compte administrateur de la machine.

[daerlnaxe]

C'est une question d'état d'esprit, si tu peux avoir un salaire énorme qui n'est pas basé sur une obligation de résultats [...]

Si tu préfères, avoir des responsabilités n'est pas un problème, j'ai travaillé pour la direction générale des armées comme dessinateur projeteur en sous traitance, un projet bien coton quand même et en prime quand je suis arrivé il affichait 6 mois de retard. Idem sur les chantiers j'ai travaillé sous tension alors que c'est illégal, j'ai assuré systématiquement et dans des conditions extrêmes, la moindre erreur aurait eu des conséquences catastrophiques. Mais maintenant, 18h par jour, j'ai mes limites... Même si je le fais pour de la programmation par passion (même plus).... Je ne devrais d'ailleurs jamais le faire, j'ai une famille. De la même manière 18h sous pression sans relâche tu iras forcément à l'erreur, donc si une boîte ne peut pas embaucher quand il y a un poste sous tension c'est qu'il y a un problème à un moment. Etre 18h/j occasionnellement même sur toute une semaine je peux totalement comprendre, être pressé jusqu'à la moëlle, non. A la base en prime ce n'est pas du tout le salaire qui me motive et il y a 15 ans en gros j'étais dans le hack et le piratage (mais du bon côté de la force). Je trouvais juste que c'était passionnant comme secteur... en outre franchement tu peux être hyper dépendant de la stratégie décidée si on ne te donne pas les moyens, le temps, qu'on te fait ouvrir des failles pour l'aspect pratique car qui dit sécurité dit contraintes, et derrière d'en assumer la faute.

J'ajoute aussi que lorsque je vois toutes les administrations se faire pirater, encrypter les données, 0 backup rien en plus du reste... Ca aussi ça me poussait à aller vers ce métier car je n'arrive pas à comprendre une telle négligence. Mais sincèrement après la déception du jour que je viens de recevoir, une de plus, je me demande comment sont sélectionnés aussi les gens parfois, en France. C'est l'histoire d'un mec à qui on ne répond (presque) jamais, qu'on ne sélectionne jamais alors qu'il est passionné depuis +20 ans et à vu quand même un minimum de choses, et le peu de fois où il arrive en entretien on lui explique qu'il va s'ennuyer... . (Je précise que j'ai voulu passer par de l'alternance, au cas où, plutôt que de débarquer sans le moindre diplôme simplement avec mes XP personnelles).

[Anthony]

La moitié des responsables de la cybersécurité changeront d'emploi d'ici 2025, et 25 % opteront pour des rôles entièrement différents à cause des facteurs de stress liés au poste, selon Gartner

Selon Gartner, Inc., d'ici 2025, près de la moitié des responsables de la cybersécurité changeront d'emploi, dont 25 % pour des rôles entièrement différents en raison de multiples facteurs de stress liés au travail.

"Les professionnels de la cybersécurité sont confrontés à des niveaux de stress insoutenables", a déclaré Deepti Gopal, directeur analyste chez Gartner. "Les RSSI sont sur la défensive, avec pour seules issues possibles qu'ils ne soient pas piratés ou qu'ils le soient. L'impact psychologique de cette situation affecte directement la qualité des décisions et les performances des responsables de la cybersécurité et de leurs équipes."

Compte tenu de cette dynamique ainsi que des opportunités de marché massives pour les professionnels de la cybersécurité, le renouvellement des talents constitue une menace importante pour les équipes de sécurité. Les recherches de Gartner montrent que les programmes de cybersécurité axés sur la conformité, le faible soutien des dirigeants et une maturité inférieure à celle du secteur sont autant d'indicateurs d'une organisation qui ne considère pas la gestion des risques de sécurité comme essentielle à la réussite de l'entreprise. Les organisations de ce type sont susceptibles de connaître un taux d'attrition plus élevé, les talents partant pour des rôles où leur impact est ressenti et valorisé.

"L'épuisement professionnel et l'attrition volontaire sont les résultats d'une mauvaise culture organisationnelle", a déclaré M. Gopal. "Bien que l'élimination du stress soit un objectif irréaliste, les gens peuvent gérer des emplois incroyablement difficiles et stressants dans des cultures où ils sont soutenus."

L'être humain est la principale cause des incidents de sécurité

Gartner prévoit que d'ici 2025, le manque de talent ou l'échec humain seront responsables de plus de la moitié des cyberincidents importants. Le nombre de cyberattaques et d'attaques d'ingénierie sociale contre les personnes explose, car les acteurs de la menace considèrent de plus en plus les humains comme le point d'exploitation le plus vulnérable.

Une enquête de Gartner menée en mai et juin 2022 auprès de 1 310 employés a révélé que 69 % des employés ont contourné les consignes de cybersécurité de leur organisation au cours des 12 derniers mois. Dans cette enquête, 74 % des employés ont déclaré qu'ils seraient prêts à contourner les consignes de cybersécurité si cela les aidait, eux ou leur équipe, à atteindre un objectif commercial.

"Les frictions qui ralentissent les employés et conduisent à des comportements non sécurisés sont un facteur important de risque interne", a déclaré Paul Furtado, VP Analyste, Gartner.

Pour faire face à cette menace croissante, Gartner prévoit que la moitié des moyennes et grandes entreprises adopteront des programmes formels de gestion du risque d'initié d'ici 2025, contre 10 % aujourd'hui. Un programme ciblé de gestion du risque d'initié doit identifier de manière proactive et prédictive les comportements susceptibles d'entraîner l'exfiltration potentielle d'actifs de l'entreprise ou d'autres actions dommageables et fournir des conseils correctifs, et non des sanctions.

"Les RSSI doivent de plus en plus prendre en compte le risque d'initié lors de l'élaboration d'un programme de cybersécurité", a déclaré Furtado. "Les outils de cybersécurité traditionnels n'ont qu'une visibilité limitée des menaces qui viennent de l'intérieur."

Source : Gartner

Et vous ?

Quelle lecture faites-vous de ces prévisions de Gartner ?
Pensez-vous que les conclusions de cette étude sont pertinentes ?
Partagez-vous l'opinion selon laquelle l'humain est la principale cause des incidents de cybersécurité ?
Êtes-vous d'accord avec l'affirmation suivante de M. Gopal : "L'épuisement professionnel et l'attrition volontaire sont les résultats d'une mauvaise culture organisationnelle" ?

Voir aussi :

Le stress contraint plus de 45 % des travailleurs de la cybersécurité à quitter le secteur de la technologie, l'une des principales raisons de ce stress est la menace persistante des ransomwares

51 % des professionnels de la cybersécurité sont victimes d'épuisement professionnel, 65 % ont envisagé de quitter leur emploi à cause du stress, selon une enquête de VMware

Emploi : quelles raisons à la pénurie globale de talents en cybersécurité ? La France métropolitaine concentre plus de 5000 postes à pourvoir et les USA près de 470 000, d'après de récents rapports

Sécurité : 72 % des professionnels de la cybersécurité envisagent de quitter la profession faute de ressources, selon Censornet.

[walfrat]

Une enquête de Gartner menée en mai et juin 2022 auprès de 1 310 employés a révélé que 69 % des employés ont contourné les consignes de cybersécurité de leur organisation au cours des 12 derniers mois. Dans cette enquête, 74 % des employés ont déclaré qu'ils seraient prêts à contourner les consignes de cybersécurité si cela les aidait, eux ou leur équipe, à atteindre un objectif commercial.

Si y'a un problème sur notre projet, genre un retard, l'argument de "c'est vos procédure de cybersécurité qui nous foutent dans la merde" marchent pas vraiment.

Parce que bon, gérer des mots de passes différents, avec des règles différentes, allez vous faire voir, j'ai pas de code d'imputation sur le temps passé à gérer mes mots de passes, ce qui est pratique pour ne pas pouvoir démontrer combien de temps les personnes perdent en la matière.

Si vous voulez vraiment de la cybersec, mettez en place des certificats client sur carte à puce plutôt que de nous faire chier avec vos politiques de mots de passe à la con.

[GLDavid]

Bonjour

Le problème de la cyber sécurité est que les entreprises se défaussent complètement sur le responsable cyber sécurité.
Imaginez que toute la sécurité entreprise repose sur vos frêles épaules ? Qui pourrait supporter cela à la longue ?
Car les passe-droits, il faudra en octroyer. Savoir aussi quel est l'environnement informatique, autrement dit l'inventaire est aussi un défi.
Et finalement, on se rend compte que le ver est déjà dans le fruit. Alors, pour ma part, j'ai trop vu des responsables cyber sécurité être de simples fusibles et ils le reconnaissent. Comment alors faire une vraie politique de cyber sécurité si ton entreprise te soutient pas ? L'entreprise doit ériger la politique de sécurité, le responsable doit se contenter de l'appliquer et de la mettre à jour.

@++

[HaryRoseAndMac]

Pendant ce temps là, des ESN qui n'y connaissent rien vendent de nouvelles compétences et se prétendent désormais aussi avoir la casquette d'experts en cybersécurité .

Alors que leurs experts ont pour seul fait d'armes, d'avoir fait des tutos sur internet ...
On ne parle pas de mec qui ont passé 20 ans dans les plus grosses boites de sécurité informatique du monde, comme ce que nous avons en France avec l'ANSII ou ce genre d'organisme ou tu ne rentre pas si tu n'est pas major de promo des plus grandes écoles et tu ne reste pas plus d'un mois si tu n'est pas réellement doué pour le domaine, mais de type qui se sont improvisés experts en cybersécurité.

[HaryRoseAndMac]

Bonjour

Le problème de la cyber sécurité est que les entreprises se défaussent complètement sur le responsable cyber sécurité.
Imaginez que toute la sécurité entreprise repose sur vos frêles épaules ? Qui pourrait supporter cela à la longue ?
Car les passe-droits, il faudra en octroyer. Savoir aussi quel est l'environnement informatique, autrement dit l'inventaire est aussi un défi.
Et finalement, on se rend compte que le ver est déjà dans le fruit. Alors, pour ma part, j'ai trop vu des responsables cyber sécurité être de simples fusibles et ils le reconnaissent. Comment alors faire une vraie politique de cyber sécurité si ton entreprise te soutient pas ? L'entreprise doit ériger la politique de sécurité, le responsable doit se contenter de l'appliquer et de la mettre à jour.

@++

Tu as raison.
Il y a aussi une erreur courante pour les entreprises : s'imaginer que c'est au développeur de penser à la cybersécurité.
Ce n'est pas son métier !

Il ne faut pas confondre sécuriser un logiciel, qui est effectivement de l'ordre des compétences d'un développeur et la sécurité d'un logiciel, qui est de l'ordre d'un expert en sécurité informatique.

La sécurité informatique est un domaine à part entière qui demande des gens qui soient experts dessus et ne fasse que ça, il n'est pas possible pour un développeur d'être partout et c'est irresponsable pour une entreprise de le penser.