Les cyberattaques incessantes et la pression pour combler les failles de sécurité malgré les contraintes budgétaires augmentent le niveau de stress des cyber-dirigeants d’entreprise et leurs inquiétudes quant à la responsabilité personnelle, une préoccupation croissante depuis l’affaire pénale contre l’ancien chef de la sécurité d’Uber Technologies.
Les piratages des systèmes informatiques des entreprises entraînent souvent des interruptions d’activité, des atteintes à la réputation, des enquêtes réglementaires et des poursuites. Les responsables de la sécurité de l’information doivent gérer les risques de cybersécurité et, en même temps, éduquer les collègues de la suite C et le conseil d’administration. Selon une enquête, trois RSSI sur quatre aux États-Unis déclarent se sentir épuisés, ce qui les expose au risque de démissionner.
« Ce rôle a toujours été sur une île. Il n’y a pas eu beaucoup de soutien là-bas », a déclaré Curtis Simpson, responsable de la sécurité de l’information chez Armis Security, une société de cybersécurité.
Lors de son emploi précédent en tant que RSSI dans une grande entreprise alimentaire–entreprise de services, Simpson a déclaré qu’il travaillait fréquemment 80 heures par semaine et qu’il manquait les anniversaires de la famille et d’autres engagements personnels.
Pendant des années, de nombreux dirigeants ont montré peu d’intérêt pour la cybersécurité, mais la pandémie de Covid-19 a été un signal d’alarme alors que les entreprises sont rapidement passées au travail à distance et ont exigé des protections de sécurité supplémentaires pour les employés à domicile, a-t-il déclaré.
Après avoir suspendu certains projets et acquisitions technologiques pendant la pandémie, de nombreuses entreprises se tournent maintenant vers certaines initiatives et acquisitions technologiques qui nécessitent l’attention des RSSI, ajoutant plus de responsabilités à leurs assiettes, a déclaré Simpson. “La personne qui était déjà fatiguée pendant la pandémie, qui s’est épuisée pendant la pandémie, se fait maintenant dire de courir plus vite que jamais”, a-t-il déclaré.
Soixante-treize pour cent des RSSI aux États-Unis ont déclaré avoir été victimes d’épuisement professionnel au cours des 12 derniers mois, selon une enquête menée par la société de sécurité Proofpoint auprès de 1 600 cyber-leaders dans 16 pays. Soixante pour cent de tous les RSSI interrogés ont déclaré avoir été victimes d’épuisement professionnel au cours de l’année écoulée.
Les risques de responsabilité potentiels liés à une cyberattaque sont devenus une préoccupation croissante pour certains RSSI. Il y a deux ou trois ans, environ 25% des candidats au poste demandaient à être sous la police d’assurance d’un dirigeant ou d’un mandataire social, mais aujourd’hui presque tous les candidats le demandent, a déclaré Michael Piacente, associé directeur chez Hitch Partners, une entreprise de cybersécurité. -société de recrutement axée.
Les polices d’assurance des administrateurs et dirigeants protègent les personnes occupant des postes de haute direction contre les pertes personnelles si elles sont poursuivies à la suite d’une décision qu’elles ont prise au travail. Environ 42% des sociétés cotées en bourse ont accepté les demandes des RSSI d’être sous l’assurance D&O en 2022, en hausse de 5% par rapport à 2021, selon une enquête de Hitch Partners le mois dernier auprès d’environ 637 leaders américains de la cybersécurité.
“Cela découle de cet équilibre entre un stress élevé et une pression sur ce qui est une surface d’attaque en expansion et plus complexe”, a déclaré Piacente.
Le directeur de la sécurité de l’information de LinkedIn, Geoff Belknap, lors de l’événement Reuters Momentum de l’année dernière, le sommet phare de Reuters sur l’IA, à Austin, au Texas.
Photo:
SPENCER SELVIDGE/REUTERS
Les retombées des contraintes budgétaires et de personnel sont plus graves et stressantes pour les responsables de la cybersécurité, même si des limitations similaires s’appliquent à chaque département, a déclaré Geoff Belknap, CISO chez LinkedIn.
“En matière de sécurité, si vous ne gérez pas bien vos contraintes, ce que vous envisagez potentiellement, c’est que votre marque est considérablement endommagée, vos clients sont en danger”, a-t-il déclaré.
Environ 61 % des RSSI ont déclaré être confrontés à des attentes excessives de la part de leurs employeurs, contre 49 % en 2022. De nombreux RSSI doivent continuer à défendre leur entreprise avec des ressources limitées. Soixante-deux pour cent des cyber-dirigeants ont déclaré être préoccupés par la responsabilité personnelle liée à une cyberattaque contre leur entreprise alors que les pressions légales et réglementaires augmentent.
La récente affaire judiciaire contre l’ancien responsable de la sécurité d’Uber, Joe Sullivan, accusé d’entrave à la justice, a sensibilisé les RSSI à leur propre responsabilité. Un juge fédéral a condamné Sullivan le 4 mai à trois ans de probation et lui a ordonné de payer une amende de 50 000 $ pour avoir omis de signaler une violation de données en 2016 à la Federal Trade Commission.
Les chefs de la sécurité actuels et anciens ont écrit des lettres de soutien à Sullivan au tribunal, craignant que sa condamnation ne fasse craindre aux RSSI un examen réglementaire et, par conséquent, aille trop loin en divulguant les cyberincidents.
Parmi les RSSI que Piacente de Hitch Partners a interrogés récemment, environ les trois quarts de ceux qui recherchent un nouvel emploi ont déclaré qu’ils éprouvaient un stress ou un épuisement professionnel important sur leur lieu de travail actuel, a-t-il déclaré. Les personnes interrogées ont déclaré à Piacente qu’elles souhaitaient davantage de soutien de la part de leur prochain employeur et cherchaient à rejoindre des entreprises soucieuses de la cybersécurité au-delà du respect des exigences de base.
Le stress accru conduit de nombreux responsables de la cybersécurité à quitter leurs emplois de gestion de la sécurité et à occuper des postes dans des sociétés de cybersécurité, des rôles de conseil aux entreprises en matière de sécurité ou des postes dans des sociétés de capital-risque, a déclaré Lucia Milică Stacy, CISO résidente mondiale de la société de cybersécurité Proofpoint.
“Ils sont de plus en plus concentrés sur la vie après RSSI”, a-t-elle déclaré.
Jerry Perullo, fondateur de la société de conseil en cybersécurité Adversarial Risk Management et ancien CISO chez Intercontinental Exchange.
Photo:
ÉCHANGE INTERCONTINENTAL
Des outils tels que le bot ChatGPT d’OpenAI représentent un défi particulier. Les RSSI doivent déterminer quels employés utilisent ces outils, en gardant à l’esprit que la plupart des employés ne prendront pas en compte les risques de sécurité liés à la nouvelle technologie, a déclaré Patrick Gaul, directeur exécutif de la National Technology Security Coalition, un groupe de défense des chefs de l’information. agents de sécurité. RELX, société mère de l’éditeur Elsevier et du service d’information LexisNexis, rédige des règles décrivant comment les employés peuvent utiliser ChatGPT pendant que l’entreprise explore comment utiliser la technologie.
Les entreprises qui expérimentent ou déploient des produits utilisant ChatGPT ont mis en garde leurs employés contre les risques liés aux fuites de données et à la confidentialité. « Les RSSI ne peuvent pas être considérés comme des obstacles au progrès », a déclaré Gaul.
La bureaucratie d’entreprise est source de stress pour les cyber-leaders, a déclaré Jerry Perullo, qui a pris sa retraite l’année dernière en tant que CISO d’Intercontinental Exchange.
Les RSSI voient une résistance à leurs demandes parce que les dirigeants ne comprennent souvent pas suffisamment les cyber-risques, a déclaré Perullo, fondateur de la société de conseil en cybersécurité Adversarial Risk Management.
“Chaque décision doit être devinée après et après coup, potentiellement par des personnes ayant moins de connaissances en la matière”, a-t-il déclaré.
Écrivez à Catherine Stupp à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
