La pénurie de RSSI dans la cybersécurité en 2023

D'ici 2025, un RSSI sur deux dans le monde quittera son poste. Le constat étonne, mais il n'en demeure pas moins vrai. En effet, le très sérieux cabinet Gartner a mené une étude sur le sujet, révélant que la moitié des responsables en cybersécurité changeront de poste d'ici là. Pourquoi ? L'étude cite l'énorme pression que ces professionnels subissent. Conséquence directe de cette vague de démissions : on s'attend à une pénurie sans précédent de RSSI dans la cybersécurité. Décryptage !

RSSI : des perspectives peu optimistes 

Les perspectives semblent de moins en moins reluisantes pour les RSSI des différentes organisations. En cause : un stress qui serait insoutenable, couplé à un soutien jugé insuffisant de la part des employeurs. Selon Gartner, la conséquence serait que plus de la moitié des responsables de la cybersécurité quitteraient leur poste actuel pour s'en aller sous d'autres cieux. Ce qui devrait arranger les affaires des entreprises spécialisées qui proposent des RSSI de transition. Ces professionnels expérimentés habitués à gérer des équipes, des ressources, des budgets et des plannings, sont, tout comme les ingénieurs consultants des SSII, détachés chez le client le temps de la mission.

Dans le détail, le cabinet d'analyse Gartner prédit que, d'ici 2025, 50 % des RSSI vont changer de boulot. Un quart d'entre eux changeront de domaine pour occuper des postes qui n'ont rien à voir avec la cybersécurité. La raison, nous vous le disions, tient aux conditions de travail de ces professionnels de la cybersécurité, toujours selon Gartner. A ce propos, Deepti Gopal, analyste chez Gartner, explique : « Les experts en sécurité sont confrontés à des niveaux de stress insoutenables. Les RSSI sont défensives, les seules possibilités étant qu'elles ne soient pas piratées ou qu'elles le soient. L'impact psychologique de cette situation affecte directement la qualité des décisions et les performances des responsables de la cybersécurité et de leurs équipes ». 

Une affaire de culture organisationnelle 

Le bien-être des professionnels de la cybersécurité est fonction directe de la culture de l'entreprise, notamment de sa culture organisationnelle. Pour le cabinet, les entreprises ne prendraient pas la sécurité suffisamment au sérieux, citant le manque de soutien du management, la faible maturité du secteur de la sécurité informatique et les programmes de cybersécurité axés sur la conformité comme autant d'indicateurs qui plaident en faveur de cette situation. Dans ce type d'entreprises, le taux de turnover des professionnels de la sécurité informatique est naturellement élevé, conséquence directe d'une culture organisationnelle qui laisse à désirer, comme l'explique Deepti Gopal : « L'épuisement professionnel et le changement volontaire sont le résultat d'une mauvaise culture organisationnelle. Eliminer le stress est un objectif irréaliste, mais les gens peuvent gérer des emplois difficiles et stressants dans des cultures où ils sont soutenus ». 

L'humain, le maillon faible 

Dans le domaine, la composante humaine est jugée vulnérable, pour ne pas dire faible. Car si les équipes de cybersécurité s'occupent de mettre en place des règles, force est de constater que les employés ne les suivent pas forcément. Le pire est que c'est le cas dans plusieurs entreprises, comme l'a révélé une enquête menée par le cabinet Gartner en 2022 : 69 % des salariés ignorent parfois les directives liées à l'utilisation de la technologie, dont 74 % croient qu'ils sont dans leur droit afin de terminer une tâche plus rapidement. A l'heure où seuls 10 % des organisations mettent en place des directives plus formelles pour minimiser les risques internes, Gartner estime qu'elles seront plus de 50 % à en faire de même à l'horizon 2025.