BitSight, Proofpoint et Sophos ont chiffré l’épuisement professionnel dans la cyber

Le phénomène de fatigue cyber touche aujourd’hui l’ensemble du tissu économique, quelle que soit la taille de l’organisation ou son niveau de maturité technique.

Dans son enquête menée auprès de plus de 1 000 professionnels de la gestion des risques et de la sécurité, BitSight constate que 47 % des répondants ont déclaré souffrir, eux ou leurs collaborateurs, d’épuisement professionnel. Plus d’un sur dix a décrit son état comme aigu, allant jusqu’à un épuisement très important, voire à une incitation à quitter définitivement la profession.

Ces résultats font écho à d’autres études du secteur. Le rapport « Voice of the CISO 2025 » de Proofpoint a révélé que 63 % des CISO ont souffert ou été témoins d’épuisement professionnel au cours de l’année écoulée. L’étude « The Human Cost of Vigilance » de Sophos avance un chiffre encore plus élevé, à 76 %.

Un mal, trois raisons

Le nombre exact peut varier, mais la conclusion demeure : le travail en cybersécurité atteint des niveaux de stress insoutenables. Ignorer cette réalité entraînera une baisse de la sécurité.

Les raisons de cet épuisement ? Sophos en voit trois. La pénurie de talents, la contrainte budgétaire et le manque d’accès à des expertises externes spécialisées aggravent cette dynamique. La pression exercée par la direction ou les conseils d’administration contribue également à entretenir une culture de la performance immédiate, sans prise en compte suffisante de l’impact humain, et fragilise durablement les dispositifs de défense.

Vers une sécurité soutenable et durable

L’épuisement professionnel ne nuit pas seulement aux individus : il compromet la performance de programmes entiers. Selon l’étude Sophos, 39 % des professionnels ont indiqué que l’épuisement professionnel réduisait la productivité, et 33 % ont déclaré qu’il diminuait leur engagement au travail. Ce sont là des indicateurs clés du risque organisationnel.

Négliger ces signaux reviendrait à fragiliser l’ensemble du dispositif de défense, alors même que la sophistication des menaces soutenues par l’intelligence synthétique s’aggrave, conclut Sophos. Le défi des prochaines années sera d’articuler efficacement la technologie, l’externalisation et la valorisation des équipes pour garantir une sécurité soutenable et durable.