Les emplois les plus lucratifs souffrent le plus dans les cadres supérieurs

Lorsque Chad Kliewer travaillait comme responsable de la sécurité de l’information dans un système hospitalier, le travail est devenu si stressant que ses cheveux ne sont pas seulement devenus gris, ils ont commencé à tomber, a-t-il déclaré. Au cours de sa carrière, il a connu ce qu’il considère aujourd’hui comme des crises de panique provoquées par la pression et provoquées par le travail. Le travail s’accompagne d’heures d’appels téléphoniques par jour, éliminant les problèmes informatiques ou les problèmes de conformité HIPAA et lui permettant d’envoyer des messages à ses collègues lorsqu’il est absent du bureau et en vacances.

Il se souvient de s’être réveillé à 3 heures du matin avec un médecin qui l’appelait d’un hôpital rural où Internet était coupé. Le médecin n’a pas pu envoyer les résultats de l’analyse au radiologue et Kliewer se souvient qu’il avait dit : « Je ne sais pas si je dois mettre ce patient dans un hélicoptère ou le renvoyer chez lui. » En tant que principal et seul agent de sécurité, Kliewer était responsable. “Je ne suis pas médecin urgentiste, mais les médecins urgentistes dépendent de mes services.”

Le stress accablant a infecté le cerveau du RSSI (responsable en chef de la sécurité de l’information) avec des logiciels malveillants, et ils vont y mettre un terme. Le mandat typique d’un RSSI ne dure que 18 à 26 mois, contre près de cinq ans pour les autres postes de direction, selon un rapport du cabinet de recherche et éditeur Cybersecurity Ventures. La moitié des RSSI déclarent que leur périmètre de travail est devenu ingérable, et près de 70 % se disent prêts à changer d’emploi, voire à quitter complètement le rôle de RSSI au cours de l’année prochaine, selon un rapport du cabinet de recherche en sécurité IANS.

Le poste relie l’aspect complexe et technique d’une entreprise à ses objectifs commerciaux, des finances aux ressources humaines en passant par les opérations quotidiennes. Ils sont considérés comme le Département du Non, freinant l’adoption de l’IA alors que les cols blancs connectent des données sensibles à des systèmes non autorisés, observant l’IA au nom de l’efficacité. Leur rôle s’est accru au cours des trois dernières décennies, exigeant qu’ils répondent à une liste croissante d’exigences réglementaires, qu’ils présentent davantage aux membres du conseil d’administration qui parlent rarement en termes technologiques et qu’ils combattent la menace combinée de l’IA tout en permettant à son potentiel de rendre les travailleurs plus efficaces. Ils font tout cela tout en s’exposent à une responsabilité personnelle potentielle en cas de failles de sécurité.

Il n’est pas étonnant que les responsables de la sécurité du monde des affaires aient atteint leurs limites. Les RSSI des grandes entreprises sont confrontés à une pression accrue, alors qu’il n’y a pas assez de personnes travaillant dans ce rôle pour servir les petites et moyennes entreprises. Alors que les pertes liées à la cybercriminalité devraient doubler, passant de 6 000 milliards de dollars en 2021 à 12 000 milliards de dollars en 2031 par Cybersecurity Ventures, cela signifie davantage de menaces non seulement sur notre lieu de travail, mais aussi dans les entreprises qui détiennent nos données personnelles en tant que clients.

Les RSSI « sont censés assumer des rôles opérationnels, stratégiques, liés aux risques et humains », explique Martin Whitworth, RSSI à la retraite. “C’est suffisant pour brûler n’importe qui.”

Le premier RSSI a été nommé au milieu des années 1990 chez Citicorp, un nouveau rôle apparu en réponse au piratage. Actuellement, environ 35 000 personnes travaillent en tant que RSSI, souvent à des postes plus subalternes au sein de la haute direction. Certaines entreprises, généralement de petite taille ou des startups, embauchent des RSSI fractionnés, qui ne travaillent qu’à temps partiel pour certaines entreprises. D’autres font appel à des RSSI virtuels disponibles pour obtenir de l’aide. Son travail a commencé comme responsable de la protection contre les menaces de cybersécurité. Mais ces dernières années, les livraisons ont augmenté, à mesure que les entreprises étaient confrontées aux cyber-risques, et les ressources n’ont pas suivi. À l’ère de l’IA en constante évolution, la sécurité est devenue plus complexe et nécessite davantage de stratégie. Mais il n’existe pas de véritable terrain de formation pour le côté diplomatique et commercial du travail, m’ont dit les RSSI, après avoir passé leur carrière à maîtriser la technologie dans des emplois souvent isolés et isolés du travail connu du grand public.

“Ce qui vous amène à la table ne vous rend pas nécessairement efficace”, déclare Joe Silva, ancien RSSI devenu PDG de la société de sécurité Spektion. “Ou bien, vous l’avez sur la table, mais ensuite vous réalisez que c’est une table d’enfant”, car les RSSI se situent généralement sur l’échelle de l’entreprise, en dessous des hauts dirigeants comme le PDG.

Une enquête menée en 2024 auprès de 500 RSSI dans le monde par la société de cybersécurité Trellix a révélé que 72 % des personnes interrogées s’inquiètent de leur avenir dans leur rôle en raison de l’expansion des responsabilités, telles que les exigences réglementaires (y compris la confidentialité de la santé, comme la HIPAA, pour le secteur financier) et la charge de travail quotidienne liée à la mise en œuvre des mesures de sécurité. “Tout le monde veut demander des comptes au RSSI”, a déclaré Ron Green, ancien responsable de la sécurité chez Mastercard. En 2023, la Securities and Exchange Commission a accusé la société de logiciels SolarWinds de fraude après que des cyberattaquants liés à la Russie ont inséré du code malveillant dans le logiciel SolarWinds, que la société a ensuite transmis à ses clients, notamment des agences du gouvernement fédéral et des milliers d’entreprises. La SEC a également nommé le RSSI de SolarWinds, Tim Brown, dans la plainte, cherchant à interdire à Brown d’exercer les fonctions de dirigeant et d’administrateur. La SEC a abandonné l’affaire à la fin de l’année dernière, mais elle présente un exemple intéressant de la manière dont les RSSI peuvent être tenus personnellement responsables des erreurs d’une entreprise.

Le travail du RSSI s’est « envolé vers ce rôle si intense », déclare Matt Hillary, RSSI chez la société de logiciels d’IA Drata. “Nous pouvons littéralement tout faire et manquer quelque chose ou négliger quelque chose.” Hillary dit qu’il est coincé dans le perfectionnisme. Au début de son mandat, il a déclaré qu’il devait changer d’état d’esprit, reconnaissant le fardeau mental que représente la tentative d’atteindre la norme impossible du risque zéro dans un monde où des risques infinis lui avaient été retirés. Souvent, il disait qu’il fixerait des objectifs et des objectifs trimestriels pour son équipe, mais qu’ils seraient ensuite frappés par une nouvelle attaque risquée ou un incendie inattendu. Hillary a déclaré qu’elle devait trouver un moyen de ne pas avoir l’impression de se traduire par un échec, tout en communiquant clairement à l’entreprise que l’équipe ne pouvait pas lutter contre tous les risques de sécurité. “Je devais comprendre qu’il y avait une zone grise importante qui devait exister”, et que la perfection était impossible.

Avec une telle quantité de responsabilités, 84 % des RSSI estiment que le travail devrait être divisé en deux rôles distincts : une personne s’occupant des aspects techniques et l’autre se concentrant sur les questions commerciales, selon l’enquête Trellix. Certaines entreprises ont emprunté cette voie en embauchant un directeur de la confiance pour assumer les aspects proactifs et communicatifs du rôle, tandis que le RSSI s’occupe de la partie cyberdéfense. Certains RSSI pensent que le problème peut être résolu s’ils discutent plus tôt des décisions commerciales, afin de refléter leurs responsabilités croissantes. “Nous nous occupons de bien plus que de la simple sécurité”, déclare Rinki Sethi, RSSI de la société de sécurité cloud Upwind Security. “Il y a beaucoup de choses pour lesquelles les gens ne savent pas où ils se trouvent, et cela revient aux agents de sécurité.”

Plusieurs RSSI de haut niveau ont fui le terrain. L’année dernière, Phil Venables, RSSI de Google Cloud, a quitté son poste pour devenir partenaire commercial, terminant quatre ans chez Google et deux décennies dans la sécurité chez Goldman Sachs. L’ancien agent de sécurité de T-Mobile quitte l’entreprise en 2023 et accepte des investissements providentiels. L’ancien directeur de la cybersécurité de la National Security Agency a pris sa retraite et a accepté un emploi. Lorsqu’un RSSI s’en va, son départ peut perturber l’équipe informatique. Souvent, aucun commandant en second n’est prêt à assumer l’aspect humain de son rôle. “Beaucoup d’entre eux ne sont pas très exposés à ces conversations, à la dynamique de la politique”, a déclaré Silva. “La sécurité peut donc être écrasée.”

Kliewer a commencé ce qu’il appelle son parcours de RSSI rétabli il y a environ quatre ans et enseigne désormais la cybersécurité à la Western Governors University. “J’ai vécu une vie stressante et je viens de décider que j’ai atteint ce point de ma vie où le stress n’en vaut plus la peine”, dit-elle. Le stress du travail menace de submerger les RSSI, car les risques et les opportunités de l’IA rendent la cybersécurité encore plus importante.

Amanda Hoover est correspondant principal chez Business Insider couvrant l’industrie technologique. Il écrit sur les plus grandes entreprises et tendances technologiques.

Si vous avez apprécié cette histoire, assurez-vous de suivre Business Insider sur Yahoo.