« Cela peut sembler illogique au premier abord », souligne Darren Thomson, CTO, Symantec EMEA, « mais si je vous présentais deux candidats à un poste de RSSI possédant des compétences identiques, et que l’un des deux, du fait d’avoir déjà été confronté à une gestion de crise, trouvait la gestion des réglementations moins stressante, était moins susceptible de souffrir de surmenage et davantage disposé à partager les enseignements qu’il a tirés au cours de sa carrière, lequel choisiriez-vous ? »

Les professionnels de la cybersécurité qui ont été confrontés à une faille sont :
• 24% de moins susceptibles de se sentir surmenés ;
• 20% de moins susceptibles de se sentir indifférents à l’égard de leur travail ;
• 15% de moins enclins à se sentir personnellement responsable d’un incident qui aurait pu être évité ;
• 14% de moins susceptibles de juger leur travail comme « voué à l’échec » ;
• 14% de plus volontaires à partager leur expérience et leur apprentissage ;
• 14% de moins susceptibles à envisager de changer de job.

Apprendre de ses échecs

L’un des principaux résultats positifs de cette étude est que les professionnels ayant été confrontés à une faille sont 14% de plus enclins à partager leur expérience avec leurs pairs. C’est un changement crucial dans les mentalités car l’étude révèle aussi qu’il existe un gros manque de partage d’information stratégiques et opérationnelles dans ce secteur d’activité.

Les incidents de sécurité de grande envergure constituent des moments importants dans une carrière, mais il est difficile d’en tirer de bonnes pratiques par manque de partage d’information entre pairs :

• 54 % d’entre eux ne discutent pas explicitement des failles ou des attaques avec d’autres professionnels du secteur.
• Les personnes interrogées sont 50 % à déplorer un manque flagrant de partage intersectoriel d’informations relatives à la gestion des incidents, ce qui contraste nettement avec la culture collaborative utilisée comme arme chez les pirates modernes.

Bien que le manque de partage de connaissance s’explique par de multiples facteurs, il semble s’accentuer à cause de l’impact potentiel que les incidents causeraient sur la réputation des professionnels. 36 % des participants craignent que le partage d’informations concernant des incidents survenus « sous leur autorité » (avec des pairs, des collègues ou des employeurs potentiels) puisse avoir une incidence négative sur leur carrière.

Darren Thomson, CTO chez Symantec EMEA, ajoute « Le conseil que je donnerais aux dirigeants d’entreprise serait de considérer la présence d’une faille sur le CV d’un RSSI comme une force, et non pas une faiblesse. Il s’agit de toute évidence d’une expérience d’apprentissage incroyable, et son impact positif sur la personnalité d’un candidat est tout aussi précieux : il s’en trouve aguerri et parvient à mieux résister à la pression, et est plus propice à devenir mentor de quelqu’un. »

Ne pas sous-estimer les bénéfices d’une crise

Près de la moitié des professionnels de la cybersécurité reconnaît qu’une faille est inévitable et que ce n’est qu’une question de temps. Ceux qui ont été confrontés à une faille sont plus susceptibles d’avoir bénéficié d’un nouveau regard de la part du conseil d’administration afin de résoudre ces problèmes prioritairement.

« Je n’ai qu’un conseil à donner à mes collègues RSSI : ne sous-estimez jamais les bénéfices d’une crise. Nombre d’entreprises ont la possibilité de créer et de déployer des pratiques et services optimisés à la suite d’une faille », déclare Ben King, CSO, Symantec EMEA. « Il s’agit d’une situation qui permet aux responsables de comprendre les défis rencontrés par les équipes de sécurité – et vient soutenir leurs demandes d’appui budgétaire et organisationnel. En particulier dans le secteur privé, si les responsables sécurité ont la possibilité de tirer parti des incidents pour convaincre le PDG de s’intéresser à ses situations, ils peuvent provoquer un changement qui n’est pas si évident à réaliser dans le quotidien ».

Basé sur les échanges qualitatifs approfondis menés avec des responsables sécurité dans le cadre de l’étude Etat d’Alerte, cinq recommandations clés sont ressorties afin de faire évoluer les mentalités et de changer la perception d’une crise pour qu’elle devienne une opportunité.
Pour télécharger et consulter l’étude Etat d’Alerte : Après la crise, cliquez ici, et pour en savoir plus, participez à notre webinaire.

À propos de l’étude

L’étude Etat d’Alerte a été réalisée par Symantec en collaboration avec Dr Chris Brauer, directeur de l’innovation chez Goldsmiths, University of London et le cabinet de conseil Thread. L’étude a été dirigée par Sean Duggan sous la supervision de Chris Brauer et de Jennifer Barth. Les chiffres de l’étude quantitative ont été fournis par Censuswide pour l’Allemagne et la France, et par YouGov pour le Royaume-Uni.

L’enquête sur le terrain a été réalisée pendant l’hiver 2018. L’étude s’est appuyée sur des méthodes quantitatives pour mesurer, définir et distinguer l’expérience vécue par les professionnels de la cybersécurité occupant un poste à responsabilité dans trois pays : Allemagne, France et Royaume-Uni. 3 045 personnes ont été interrogées dans le cadre de l’enquête : 1 003 en Allemagne, 1 002 en France et 1 040 au Royaume-Uni. Les participants se situent à un échelon hiérarchique intermédiaire ou supérieur, qui leur confère un pouvoir de décision dans le domaine de la cybersécurité.

Les informations obtenues auprès de professionnels expérimentés de la cybersécurité et des recherches documentaires ont étayé l’enquête. Celle-ci consistait en 43 points organisés en neuf groupes de questions assorties d’une échelle de réponse sur cinq points, permettant aux participants de se situer dans le cadre précis d’investigation. L’enquête comportait également des questions destinées à la collecte de données démographiques.

À propos du partenariat dans le cadre de l’étude

Symantec s’est associé au Dr Chris Brauer, directeur de l’innovation de Goldsmiths, University of London, et au cabinet d’études Thread dirigé par Jennifer Barth pour étudier les difficultés des professionnels de la cybersécurité. Tous deux sont des spécialistes des études professionnelles sur le comportement des consommateurs, les technologies émergentes et les changements socio-économiques. Associant études qualitatives et quantitatives, leur approche théorique poussée contribue à résoudre les problématiques clés des entreprises.