L'impact humain des ransomwares : les professionnels de l'informatique sont poussés à la limite

La menace des ransomwares continue d'augmenter, avec 66 % des entreprises ayant subi au moins une attaque par ransomware au cours des deux dernières années.  

Bien que la discussion autour de l'impact de ces attaques soit le plus souvent centrée sur leur effet sur les entreprises, de nouvelles recherches de Object First montrent que l'impact humain est tout aussi significatif. 84 % des professionnels de l'informatique interrogés ont déclaré se sentir inconfortablement stressés au travail en raison des risques liés à la sécurité informatique, tandis que 78 % craignent d'être personnellement blâmés pour des incidents de sécurité.  

Ces chiffres sont frappants, mais il est tout aussi important de voir les individus derrière ces statistiques.  

C'est pourquoi, dans ce blog, nous allons examiner la recherche plus en détail, ainsi que quelques commentaires de professionnels de l'informatique individuels sur la communauté en ligne Spiceworks pour voir comment ils font face à l'épuisement professionnel en informatique. 

Les travailleurs de l'informatique ressentent une responsabilité extrême 

L'une des premières questions qui vient à l'esprit en lisant les statistiques ci-dessus est : d'où vient tout ce stress ?  

Un point de données indique une réponse possible : 55 % des personnes interrogées ont identifié des charges de travail lourdes et des équipes sous-dotées comme les principales sources de stress dans leurs rôles, suivies par des préoccupations concernant les cyberattaques et la pression pour maintenir la disponibilité et le temps de fonctionnement des services.  

Bien que les impacts financiers et réputationnels potentiels d'une attaque par ransomware sur une entreprise soient énormes, la survie et la récupération d'une organisation constituent un fardeau extrême à imposer à des équipes qui peuvent souvent ne se composer que d'une poignée de personnes. Dans un récent sondage communautaire sur les préoccupations concernant les ransomwares, l'utilisateur de Spiceworks Guvna a clairement exprimé qu'il ressentait la pression : 

“La sécurité informatique s'arrête avec moi, et malgré tout ce que je peux faire pour atténuer de tels risques, au final, il suffit que les acteurs malveillants trouvent UNE façon d'entrer, et ils sont à l'intérieur. Ransomware, exfiltration, douleur, problèmes. Et qui reçoit immédiatement le blâme ? Même avec des sauvegardes isolées, quelqu'un doit prendre la responsabilité de quelque chose.” 

Direction et informatique sur des pages différentes 

Bien qu'il ne s'agisse pas nécessairement d'une question de blâme, nos recherches et nos contacts montrent que les travailleurs de l'informatique ressentent une pression significative de la part de la direction. 47 % des personnes interrogées rapportent ressentir une pression de la part de la direction pour “tout réparer” après un incident de sécurité.  

Ce n'est pas seulement pendant la récupération post-attaque que les professionnels de l'informatique ressentent la pression. Il y a un véritable sentiment parmi ceux avec qui nous avons parlé que la direction supérieure n'est pas toujours consciente de l'importance des ransomwares—ou n'est pas convaincue de la valeur de protection contre ransomwares—jusqu'à ce que quelque chose tourne mal.     

Cela laisse de nombreux professionnels de l'informatique non seulement se sentir ignorés, mais cela les fait également se sentir comme s'ils devaient lutter seuls. Dans ce même sondage, selon l'utilisateur de Spiceworks MerlinYoda : 

“Ce n'est qu'après que les choses tournent réellement mal que la direction supérieure voit vraiment à quel point les problèmes pour lesquels ils ont été avertis étaient graves. Tant que ce n'est pas littéralement devant leur porte, la probabilité du risque est jugée comme n'étant pas si grande—donc tous les coûts associés à l'atténuation de ce risque sont ensuite évalués en conséquence.” 

La complexité excessive des systèmes crée un fardeau supplémentaire 

Au-delà de l'environnement de travail, les données montrent que les outils réels utilisés par les professionnels de l'informatique peuvent également contribuer à l'épuisement professionnel en informatique. 

74 % ont déclaré que leurs outils de récupération de données sont trop complexes pour être utilisés sans expertise en sécurité, et 67 % estiment que des solutions de sauvegarde plus rapides et plus performantes qui minimisent les temps d'arrêt augmenteraient considérablement la productivité et la confiance dans la réponse aux cyberattaques.  

Dans certains cas, la technologie n'est pas seulement complexe mais aussi obsolète. Cependant, obtenir le bon levier pour augmenter les dépenses en nouvelles technologies est souvent difficile, surtout sans menace tangible, comme le note l'utilisateur de Spiceworks Nonya : 

“Vivre [une attaque] […] est le seul moyen réel d'obtenir des dépenses en sécurité... Cela peut également s'appliquer à une défaillance matérielle… vous pouvez avertir les dirigeants un million de fois que notre infrastructure est obsolète et sur le point de s'effondrer, mais jusqu'à ce qu'elle implose enfin, vous n'obtiendrez jamais de levier…” 

Bien-être et santé mentale sous-priorisés 

Il est clair que tous les éléments ci-dessus combinés ont un impact émotionnel significatif sur la main-d'œuvre informatique, avec une personne sur cinq (18 %) se sentant “sans espoir et accablée” pendant et après un incident de sécurité. Mais il y a des preuves que la santé mentale et le bien-être sont également sous-priorisés en temps “normal”.  

50 % des personnes que nous avons interrogées estiment que leurs entreprises ne priorisent pas systématiquement le bien-être et la santé mentale des employés—et même ceux qui n'ont jamais subi d'attaque s'inquiètent de l'impact sur leur santé, la leur et celle de leur entourage. Selon l'utilisateur de Spiceworks Iwan.W.Kanten : 

“Bien que je n'aie jamais subi d'attaque active moi-même, je suis toujours inquiet. J'ai vu les conséquences. La sécurité renforcée, le stress, le PTSD léger dans le département informatique… c'est réel.” 

L'épuisement professionnel en informatique menace la résilience des entreprises 

Cela nous amène à une dernière statistique frappante dans notre recherche : 59 % des personnes interrogées ont envisagé ou ont commencé activement à chercher de nouveaux emplois en raison du stress au travail. L'utilisateur de Spiceworks Guvna ne mâche pas ses mots : 

 “Ce [stress lié aux ransomwares] est la raison numéro 1 pour laquelle je considère sérieusement de tout abandonner dans l'informatique et de me tourner vers un autre métier […] L'anxiété ne fait qu'empirer. Peut-être est-il temps de laisser quelqu'un d'autre prendre les rênes et d'aller peindre des clôtures pour gagner ma vie.” 

C'est un sentiment qui pose de réelles menaces pour l'ensemble de l'industrie informatique—et le timing ne pourrait pas être pire. David Bennett, PDG de Object First, note :   

"Le stress croissant sur les professionnels de l'informatique et de la cybersécurité n'est pas seulement un problème de ressources humaines ; c'est un défi de résilience pour les entreprises. Nos recherches montrent que la pression d'être la dernière ligne de défense contre les cybermenaces a un impact sérieux sur la santé mentale et la performance au travail de ces professionnels. Alors que les menaces cybernétiques continuent d'augmenter en fréquence et en sophistication, le risque de productivité compromise et de perte de talents de premier plan en raison de l'épuisement pourrait rendre les organisations plus vulnérables que jamais.” 

Nous ne pouvons pas continuer la lutte contre les ransomwares sans les compétences, les connaissances et le dévouement inestimables des travailleurs de l'informatique. Alors, que doit-on faire ? 

Petits pas pour lutter contre l'épuisement professionnel en informatique 

Nous ne pouvons pas arrêter les ransomwares du jour au lendemain—ni pouvons-nous immédiatement aborder toutes les causes de l'épuisement professionnel en informatique auxquelles de nombreux professionnels de l'industrie sont confrontés.  

Nous pouvons, cependant, donner aux professionnels de l'informatique les outils dont ils ont besoin pour aider à gérer la pression et le stress au travail.  

Object First a collaboré avec Cybermindz, une organisation à but non lucratif basée à San Francisco axée sur la résilience mentale pour la communauté informatique et de cybersécurité, pour publier une courte vidéo explorant le stress et l'épuisement professionnel en informatique, des étapes pratiques de récupération et le rôle de la direction dans la santé mentale.   

En plus de la vidéo, ils offrent des ressources telles que des outils pour identifier l'épuisement professionnel en informatique, comment gérer la pression au travail et mesurer le stress, ainsi qu'un accès gratuit au protocole iRest® de Cybermindz—une pratique simple, fondée sur des recherches, en 10 étapes qui peut être réalisée en 10 à 20 minutes pour aider à réduire le stress, restaurer la concentration et améliorer le sommeil. 

Pour un soutien immédiat, des ressources supplémentaires sont disponibles : 

• Ligne d'assistance pour le suicide et les crises : Si vous êtes aux États-Unis, composez le 988. En dehors des États-Unis : Visitez www.findahelpline.com pour des lignes d'assistance spécifiques à chaque pays. 
• Alliance nationale pour la santé mentale (NAMI) : Appelez le 1-800-950-6264 ou envoyez un SMS avec NAMI au 62640.