5 raisons pour lesquelles les experts cybersécurité quittent la cyber !
J'ai vu beaucoup de personnes s'investir dans la cybersécurité et qui après quelques temps décident d'en repartir. Ensemble je vous propose d'analyser quelques raisons potentielles
Burn-out et surcharge de travail
Le burn-out est une réalité bien présente dans le secteur de la cybersécurité, souvent mise en lumière lors d'événements nationaux majeurs tels que les Assises de la Sécurité ou le Forum inCyber (anciennement FIC). Il n'est pas rare d'entendre des confrères RSSI partager ouvertement leurs luttes contre l'épuisement professionnel, certains allant jusqu'au burn-out.
J'ai récemment été témoin de la situation d'un RSSI dynamique et engagé qui, du jour au lendemain, s'est retrouvé en arrêt de travail. Cela dure depuis plus de 6 mois, pas sûr qu’il pourra reprendre le même type de poste.
Au-delà du burn-out, la charge de travail en cybersécurité peut être écrasante. Ce secteur, relativement jeune et en constante évolution, exige souvent de jongler entre 3 aspects majeurs :
Apprentissage continu : La cyber étant un domaine très large, il est fréquent de devoir changer de poste et de responsabilité par la même occasion. Un changement d’entreprise fréquent, environ tous les 3 à 5 ans, impose d'assimiler rapidement de nouvelles responsabilités et de s'adapter à un nouveau contexte métier. Rester dans la même organisation toute sa vie est devenu exceptionnel.
Gestion de la charge de travail croissante : Les tâches s'accroissent mois après mois, tandis que les ressources allouées à la cybersécurité augmentent bien plus lentement. Les budgets sont souvent rigides, sauf en cas d'incidents de sécurité critiques qui nécessitent des dépenses imprévues.
Veille et formation continue : La cybersécurité étant un domaine où il faut se mettre à jour quasiment en permanence. Nous sommes sur un domaine stimulant qui évolue mois après mois. Cela amène à faire des sacrifices supplémentaires.
D'après mon expérience, briser l'isolement est crucial. Se rendre compte que d'autres partagent ces défis et pouvoir discuter de ses propres problèmes avec des confrères est essentiel. Heureusement, notre domaine bénéficie de nombreuses organisations dédiées à soutenir les professionnels de la cybersécurité dans ces défis.
Incompatibilité vie familiale et professionnelle
Aborder le rythme de travail en cybersécurité avec mes confrères révèle souvent une réalité complexe : ce domaine n'est généralement pas compatible avec les horaires de bureau traditionnels de 9h à 17h.
Nous connaissons fréquemment des moments, où nous devons commencer à 8h du matin pour pouvoir parler avec des homologues d’Australie, devoir sauter le déjeuner pour boucler des présentations destinées aux décideurs.
Le plus challengeant à mon sens, ce sont les incidents cybersécurité de plus en plus fréquents. Ceux-ci nous obligent souvent à sauter l’apéro familial ou entre amis du vendredi soir. Et ça, ça peut finir par agacer.
Pour ma part, je suis favorable à une organisation flexible. Cela pourrait signifier des heures intensives à des moments critiques, mais aussi la liberté de consacrer du temps à des activités personnelles lorsque la charge de travail le permet. Cette flexibilité peut aider à maintenir un équilibre vital entre vie professionnelle et personnelle, essentiel pour éviter l'épuisement et rester efficace sur le long terme.
Déception devant l’expertise nécessaire
Beaucoup pour venir dans la cybersécurité sont passé par l’étape Pentest. Je vois beaucoup de nouveaux professionnels de la cybersécurité avoir des compétences de hacking démesurés par rapport à la situation. Lorsqu'ils sont confrontés à la réalité, ils découvrent que de nombreuses vulnérabilités peuvent être exploitées par des individus peu expérimentés, parfois même des adolescents.
Le véritable défi en cybersécurité, à mon avis, ne réside pas tant dans l'application des protections techniques les plus sophistiquées, mais plutôt dans la capacité à fermer efficacement un maximum de "portes" présentant un faible niveau de sécurité. Cela nécessite souvent moins de prouesses techniques avancées et plus d'attention aux bases de la sécurité.
Face à cette réalité, certains choisissent de quitter le domaine, découragés peut-être par la banalité des failles qu'ils doivent combattre.
Personnellement, je trouve que le défi humain de déployer des solutions à grande échelle est tout aussi fascinant que les aspects techniques les plus pointus. C'est ce mélange d'enjeux humains et techniques qui rend notre métier stimulant et essentiel.
Frustration sur un déploiement lent de la cybersécurité
Déployer la cybersécurité peut mettre des mois voir plus souvent des années. J’ai connu un grand groupe d’assurance qui a mis plus de 7 ans à commencer à avoir une cybersécurité crédible à l’échelle du globe. Certains collaborateurs de cette assurance diront qu’il y a encore beaucoup de chemin à faire.
Et donc la frustration peut vite venir devant parfois des mesures organisationnelles et techniques qui pourraient se déployer en quelques semaines et qui mettent des années. Les organisations doivent prioriser le déploiement de la cybersécurité en fonction d’autres enjeux. Et soyons honnêtes, rares sont les entreprises dont le premier objectif vis à vis de leur COMEX est de déployer la cybersécurité le plus vite possible.
Pour gérer cette complexité, je trouve qu'il est crucial de mesurer et de suivre les progrès réalisés en matière de cybersécurité. Trop souvent, nous nous concentrons sur la montagne de choses à venir et des scenarii horribles à venir. Prendre le temps de s'arrêter et de dresser la liste de ce qui a été accompli peut aider à maintenir une perspective équilibrée et à motiver les équipes en montrant les progrès concrets, étape par étape.
Frustration vis à vis de son management
C’est un sujet régulier et qui m’attriste souvent. Je vois beaucoup de personnes qui se fâchent avec leur management, souvent leur DSI. Et donc, qui décident finalement que leur poste dans la cybersécurité n’est pas fait pour eux.
De manière générale, j’observe souvent que lors de la prise d’un nouveau poste, il y a plusieurs phases :
La phase d’apprentissage : Elle dure environ 1 an, période pendant laquelle nous sommes concentrés et heureux d’apprendre et de se mettre à niveau.
La phase de constat : Finalement on se rend compte qu’il y a plein de choses qui ne vont pas.
La phase terminale : La frustration atteint son paroxysme, poussant certains à envisager de quitter leur poste.
Cependant, partir n'est pas la seule option. La cybersécurité, étant un domaine vaste, offre diverses opportunités de carrière dans différents types d'organisations. De nombreux professionnels optent pour un retour vers les ESN, où la gestion des ressources humaines et la spécialisation en cybersécurité peuvent offrir un environnement plus adapté à leurs attentes et à leur expertise.
Ce changement de cadre peut parfois être la clé pour renouveler leur motivation et leur engagement envers leur profession.
Conclusion
La cybersécurité est un domaine passionnant, difficile où il ne faut pas rester seul.
Je suis Téodor, passionné par la Cybersécurité. Fondateur de CyberLead après plusieurs expériences à Paris, Washington DC et dans la Silicon Valley.
Nous aidons les organisations à déployer leur cybersécurité dans toutes les dimensions physiques et numériques.
Nous partageons des ressources Cybersécurité pour aider à déployer plus vite la cybersécurité à travers un Notion.
J'intègre une école en Mai et je me lance. Merci pour ton analyse.
Merci pour cette analyse de qualité !