L'année dernière, Tony a été licencié pour épuisement professionnel de son poste de sensibilisation à la cybersécurité au sein d'une grande entreprise britannique de commerce électronique.
"Beaucoup d'entre nous, dans le domaine de la cybersécurité, s'investissent à fond dans leur travail. Il y a beaucoup de passion en jeu".
Il avait de plus en plus de mal à dormir et à se rendre au bureau.
Tony, qui n'a pas souhaité que son vrai nom soit utilisé, se souvient de l'attaque du ransomware Wannacry en 2017. « C'était un vendredi et quelque chose est apparu sur BBC News ».
- « Vous n'aurez plus jamais besoin de travailler » : des criminels offrent de l'argent à des journalistes pour pirater la BBC
- Quelle est l'histoire de la femme qui a perdu des centaines de milliers de dollars à cause d'une arnaque numérique ?
- Comment des adolescents se sont lancés dans le piratage de grandes entreprises technologiques
L'équipe de sécurité s'est réunie par téléphone le soir même et la décision a été prise de supprimer chaque appareil du réseau.
« Et c'est le dimanche après-midi que je me suis retrouvé hors ligne », raconte-t-il.
L'entreprise n'avait pas été touchée par le bogue, dit-il. "Il s'agissait d'un travail préparatoire".
Selon Tony, ce schéma se répète actuellement dans les organisations qui tentent de se protéger contre les attaques Scattered Spider qui ont frappé les détaillants et d'autres entreprises cette année.
Et il ajoute : « Je ne peux même pas imaginer ce que les employés de Co-op et de M&S ont dû endurer ».
« Si vous pensez que vous êtes en train de vous épuiser, c'est que vous êtes déjà sur la bonne voie », déclare Andrew Tillman, ancien responsable des cyberrisques et de l'assurance pour l'Agence de sécurité sanitaire du Royaume-Uni.
Selon lui, la cybersécurité peut parfois être « le meilleur métier du monde ». Mais lorsque les choses tournent mal, « c'est un endroit un peu dangereux ».
M. Tillman a lui-même souffert d'épuisement professionnel au cours des quatre années qu'il a passées au sein de l'agence.
Ce stress se révèle dans les données recueillies par l'ISC2, l'association des professionnels de la cybersécurité.
Son étude annuelle sur la main-d'œuvre révèle un taux de satisfaction professionnelle favorable de 66 % en 2024, soit une baisse de quatre points de pourcentage par rapport à l'année précédente.
L'épuisement professionnel est un « problème majeur » pour le secteur, selon Jon France, responsable de la sécurité de l'information à l'ISC2.
Selon lui, on demande de plus en plus aux professionnels du secteur « d'en faire plus avec moins », ce qui ne fait qu'augmenter le stress et l'insatisfaction au travail.
« Les cyber-professionnels travaillent rarement de 9H à 17H », ajoute-t-il. « Même s'ils le font, ils restent sur appel car les acteurs de la menace ne respectent pas les horaires de bureau. »
Le problème vient en partie du fait que les pirates sont devenus plus agressifs, prêts à cibler des infrastructures nationales essentielles ou à paralyser des organismes de santé à l'aide de ransomwares.
Par ailleurs, les pirates soutenus par des États-nations sont également à l'origine d'un plus grand nombre d'attaques, que ce soit pour faire de l'espionnage, voler de la propriété intellectuelle, diffuser des informations erronées, provoquer des perturbations ou même chercher à réaliser des gains financiers pour leur propre compte.
Les pirates nord-coréens, par exemple, sont devenus plus actifs et plus habiles dans le domaine de la cybercriminalité.
Au début de l'année, des pirates informatiques, dont on pense qu'ils travaillent pour le régime nord-coréen, ont volé des jetons numériques d'une valeur de 1,5 milliard de dollars (1,1 milliard de livres sterling) à la bourse d'échange de cryptomonnaies ByBit.
Les autorités américaines estiment que la moitié des devises étrangères acquises par la Corée du Nord proviennent de vols informatiques.
- Les 3 cyber-attaques russes les plus redoutées par l'Occident
- Le vol de 14 millions de dollars que des pirates informatiques ont perpétré en deux heures dans des distributeurs automatiques de billets du monde entier
Les organisations des secteurs privé et public ayant numérisé une plus grande partie de leurs opérations, les ramifications d'une cyberattaque ou d'une atteinte à la protection des données sont plus graves.
M. Tillman déclare : « Il y a toujours cette pensée consciente ». Si cela tourne mal, quel impact cela pourrait-il avoir sur les personnes dans la rue ? Comment cela pourrait-il affecter leurs emplois, leurs moyens de subsistance ?
Selon Lisa Ackerman, ancienne responsable adjointe de la sécurité de l'information (CISO) chez GSK et responsable stratégique du CISO Council chez Cybermindz, une organisation à but non lucratif qui lutte contre l'épuisement professionnel dans le domaine de la cybersécurité, la rotation du personnel est particulièrement prononcée dans les postes de débutants.
Les alertes constantes des systèmes d'alerte peuvent aggraver le problème, en présentant aux professionnels un barrage de données qu'ils doivent assimiler.
Cela pourrait être un problème particulier pour les jeunes professionnels qui travaillent en première ligne et dans les centres d'opérations de sécurité.
Mais les fonctions qui ne sont pas en première ligne ne sont pas à l'abri, affirme M. Tillman.
Gérer les risques et veiller à ce que les organisations respectent les obligations en matière de conformité et de réglementation peut s'avérer difficile lorsque d'autres équipes cherchent désespérément à mettre en service de nouvelles applications ou de nouveaux services sans tenir compte de tous les aspects de la sécurité.
Peter Coroneos, fondateur de Cybermindz, explique que les travailleurs de la cybersécurité peuvent être pris dans une « culture du blâme » où leurs succès sont « peu visibles ».
Cette situation leur confère un « faible niveau d'appréhension », explique-t-il.
Pour les jeunes travailleurs, cela peut être préjudiciable, car le cerveau humain se développe encore bien au-delà de la vingtaine, explique M. Coroneos.
"Par conséquent, si vous recrutez des personnes dont le cerveau n'est pas encore complètement formé et que vous leur confiez des tâches très stressantes, vous risquez de les exposer à des problèmes à long terme en ce qui concerne leur propre bien-être cognitif et émotionnel.
Cybermindz propose un « régime structuré d'entraînement neuronal » qui vise à redonner aux sujets un sentiment de sécurité psychologique.
"Si quelqu'un a une crise de panique, lui dire de se calmer ne marchera pas. Il faut agir sur la neurochimie", explique M. Coroneos.
En fin de compte, ajoute Mme Ackerman, « nous voulons arriver à une sorte de législation pour les cyberéquipes comme nous en avons pour les contrôleurs aériens, les médecins, les pilotes et les personnes qui sont les premiers intervenants ». "Ce que sont en réalité les cyberdéfenseurs".
En attendant, c'est aux organisations et aux travailleurs de surveiller les signes de stress avant qu'ils ne se transforment en quelque chose de plus inquiétant.
M. Tillman affirme qu'il est désormais beaucoup plus conscient des signes avant-coureurs d'un épuisement professionnel imminent, qui se traduisent pour lui par une modification des habitudes de sommeil ou d'alimentation, une diminution de l'exercice physique ou l'absence de promenade avec le chien.
« C'est un peu comme une cyber-faille », explique-t-il. "Il faut partir du principe qu'il est en route et s'efforcer de ne pas le laisser se produire".
- Interpol : comment les groupes criminels de l’Afrique de l’Ouest soutirent des millions de dollars à leurs victimes
- Arrestations massives pour sextorsion et escroqueries amoureuses dans une opération d'infiltration à travers l'Afrique
- Les polices du monde entier se livrent à une course aux armes technologiques avec la mafia nigériane
