La cybersécurité et la conformité ont toujours excellé dans un domaine : celui de structurer l'incertitude.
Nous prenons un concept abstrait, la menace, et le rendons maîtrisable. Nous évaluons sa probabilité et son impact, définissons les responsabilités, mettons en œuvre des contrôles et assurons une surveillance continue. Au fil du temps, cette discipline a transformé le risque cybernétique, d'un élément intangible, en un risque que les organisations peuvent gérer activement.
L’épuisement professionnel est absent de la plupart des registres de risques, alors qu’il est répandu, mesurable et de mieux en mieux compris. Il affecte la performance dans les fonctions où de petites erreurs peuvent avoir des conséquences considérables. Il ne s’agit pas d’un oubli, mais du constat d’une lacune dans la définition même du risque au sein des organisations.
L'hypothèse dont on ne parle pas
La plupart des modèles de sécurité et de conformité reposent sur une hypothèse tacite : que les personnes qui les mettent en œuvre fonctionnent à pleine capacité cognitive.
De façon constante.
Rien qu'au Royaume-Uni, La mauvaise santé mentale coûte désormais aux employeurs 51 milliards de livres sterling par an., avec plus de 22 millions de journées de travail perdues chaque année à cause du stress, de l'anxiété et de la dépression. Près de La moitié des responsables RH considèrent désormais l'épuisement professionnel comme le principal risque pour les entreprises en 2026.Dans les rôles liés à la technologie, Jusqu'à 82 % des employés déclarent se sentir proches de l'épuisement professionnel..
Dans ce contexte, l'hypothèse d'une performance humaine constamment élevée commence à ressembler moins à une norme qu'à une vulnérabilité.
Comme l'a souligné Maria Drakoula, spécialiste en santé mentale : « Les organisations présupposent une performance parfaite de leurs employés, ce qui, par principe, constitue un risque pour la sécurité en soi. »
La plupart des cadres de sécurité sont conçus pour un effectif fonctionnant à pleine capacité. Or, cet effectif n'existe pas.
L'épuisement professionnel, repensé comme un risque
Si les organisations traitaient le burn-out avec la même rigueur que les autres risques opérationnels, le débat serait, à mon avis, bien différent. Et il commencerait, comme tout débat sur les risques, par l'analyse des probabilités.
Dans les secteurs de la technologie et de la sécurité, l'épuisement professionnel n'est pas un problème marginal ni un pic périodique ; il est persistant. Recherche ISACA Une étude a révélé que 73 % des professionnels européens de l'informatique ont déjà souffert de stress ou d'épuisement professionnel, tandis qu'une autre étude a montré que 91 % des RSSI déclarent ressentir un niveau de stress modéré ou élevé.Au Royaume-Uni, environ quatre employés sur cinq disent être proches de l'épuisement professionnel., avec des concentrations plus élevées dans les rôles techniques.
Il ne s'agit pas d'un risque extrême. Cela fait partie intégrante de l'environnement opérationnel.
L'impact est plus concret qu'on ne le pense souvent. L'épuisement professionnel affecte trois éléments essentiels à la sécurité : l'attention, le jugement et la motivation. Lorsque ces éléments se dégradent, l'efficacité des contrôles diminue également. Ce n'est pas dramatique au début, mais insidieux : alertes manquées, décisions plus lentes, petites erreurs, application irrégulière des procédures.
L'effet cumulatif est mesurable. La productivité peut chuter jusqu'à 35 % en cas de mauvaise santé mentale.Les employés perdent près de cinq heures par semaine en raison de leur baisse d'efficacité liée au stress. Présentéisme : le fait de travailler malgré la maladie ; cela coûte aux organisations deux à trois fois plus cher que l'absentéisme.
Rien de tout cela ne relève du « bien-être ». Il s'agit, en réalité, d'une dégradation de la dimension humaine au sein de l'environnement contrôlé.
L'épuisement professionnel ne survient pas de façon ponctuelle. Les pics de pression, les cycles d'audit et les incidents majeurs sont gérables. Mais lorsque ces conditions persistent, elles cessent d'être exceptionnelles et deviennent structurelles. Les équipes de sécurité, en particulier, fonctionnent sous une charge soutenue : alertes constantes, pics d'audit périodiques et modèles de réponse réactifs. Avec le temps, cela engendre des schémas récurrents, une lassitude face aux alertes, une surcharge cognitive et des raccourcis procéduraux. Le système peut toujours réussir les audits. Il peut toujours paraître conforme. Mais sa fiabilité diminue.
Ce que signifierait prendre cela au sérieux
Reconnaître l'épuisement professionnel comme un risque majeur ne nécessiterait pas un nouveau cadre de référence. Il suffirait d'utiliser celui qui existe déjà.
Un registre des risques d'épuisement professionnel trouverait parfaitement sa place parmi les autres risques opérationnels. Il décrirait clairement les conditions favorisant ce risque : charge de travail intense et soutenue, outils fragmentés, pics d'activité liés aux audits et équipes sous-dotées. Il suivrait les indicateurs avancés, non seulement l'absentéisme ou le roulement du personnel, mais aussi des signaux déjà familiers aux responsables opérationnels.
- Augmentation des retards et des alertes non résolues
- augmentation des taux d'erreur ou des reprises
- heures de travail prolongées au-delà du contrat
- baisse de l'engagement dans les processus critiques
Les commandes qui suivent semblent elles aussi remarquablement familières :
- Modélisation de la charge de travail et des capacités alignée sur les cycles de risque connus
- Réglage et priorisation des alertes pour réduire le bruit
- automatisation des tâches répétitives et à faible valeur ajoutée
- une propriété plus claire à travers les systèmes fragmentés
- un passage d'audits ponctuels à des approches plus continues
L’objectif n’est pas de médicaliser le burn-out ni de le réduire à un simple indicateur. Il s’agit de le rendre visible, de le faire prendre en charge et de le maîtriser, ce que les organisations font déjà pour tous les autres risques présentant le même niveau de fréquence et de conséquences.
L'épuisement professionnel comme facteur multiplicateur de risque
Je crois que si le burn-out reste si mal encadré, c'est notamment parce qu'il apparaît rarement comme un échec isolé. Il amplifie d'autres risques.
Comme le souligne Maria Drakoula, « l’épuisement professionnel dégrade l’attention, le jugement et la motivation, ouvrant la porte non seulement à l’erreur humaine, mais aussi, dans les cas extrêmes, à des comportements malveillants ». En matière de sécurité, cela se traduit par des modes de défaillance bien connus :
- vulnérabilité à l'ingénierie sociale, là où la fatigue et l'urgence se rencontrent
- erreurs de configuration dues à une surcharge cognitive ou à des décisions précipitées
- La fatigue liée aux alertes peut entraîner le non-respect ou l'ignorance de certaines menaces.
- Des raccourcis dans le contrôle d'accès ont été pris sous pression.
- ruptures dans le respect des processus
Pris individuellement, chacun de ces éléments est familier. Ensemble, ils forment un schéma. L'épuisement professionnel n'introduit pas de nouveaux risques ; il accroît la probabilité de ceux déjà présents.
Des systèmes, pas des individus
Considérer l'épuisement professionnel comme un problème individuel lié à la résilience, à la capacité d'adaptation et au bien-être personnels revient à déplacer le problème du système et de la gouvernance vers l'individu. C'est un choix de conception, et un mauvais choix. Les facteurs en cause : des modèles d'audit qui créent des pics non durables, des outils qui fragmentent les flux de travail et augmentent le travail manuel, des modèles opérationnels qui supposent une disponibilité constante, des approches de conformité qui restent réactives plutôt que continues, relèvent pleinement de la gouvernance.
Ce sont des choix de conception. Et les choix de conception sont gérables.
Le travail à distance et distribué a également modifié la façon dont se manifeste l'épuisement professionnel, plutôt que sa simple existence. Comme le souligne Maria Drakoula, « l'isolement, combiné à la surcharge cognitive, crée un terrain propice aux erreurs, qui peuvent se propager et rester indétectées plus longtemps ». Du point de vue de la sécurité, il s'agit moins d'un problème culturel que d'un enjeu de détection et de résilience. Le risque ne réside pas dans le travail à distance en lui-même, mais dans la raréfaction des points d'interruption et de correction naturels au sein du système.
Le problème de conception plus large
Cela s'inscrit dans un débat plus large sur la gestion globale des risques au sein des organisations. Ces mêmes organisations qui n'envisageraient même pas de réaliser un simple audit de sécurité annuel et de le qualifier de gestion continue des risques gèrent leurs ressources humaines de la même manière : une enquête annuelle de satisfaction des employés, une semaine dédiée au bien-être et une formation ponctuelle.
La logique de la surveillance continue, qui s'applique à la sécurité de l'information, à la confidentialité des données et à la gouvernance de l'IA, s'applique également ici. La performance humaine est un facteur de contrôle. Elle se dégrade. Il faut la modéliser, et non pas simplement la constater. La sécurité de l'information, les obligations en matière de confidentialité et la gouvernance de l'IA sont gérées comme un système connecté et continu. Au lieu de simples exercices ponctuels, les organisations deviennent véritablement plus difficiles à perturber. Étendre cette même logique à la dimension humaine de l'environnement de contrôle ne représente pas un grand pas en avant. Il s'agit du même principe, appliqué de manière cohérente.
La question du leadership
Les responsables de la sécurité sont déjà tenus responsables de l'efficacité des contrôles, de la conformité réglementaire et de la résilience opérationnelle. L'épuisement professionnel touche ces trois aspects. Or, il apparaît rarement au sein des mêmes structures de gouvernance, ce qui engendre une forte dépendance à l'égard des performances humaines, largement présumées plutôt que gérées activement.
La question la plus pertinente n'est pas : comment réduire l'épuisement professionnel ? Elle est plutôt : dans quels domaines de notre environnement de travail repose-t-on sur une performance humaine soutenue que nous ne pouvons ni modéliser ni gérer de manière structurée ?
Répondre honnêtement à cette question, c'est ça la véritable gestion continue des risques. Pas un examen annuel. Pas une initiative de bien-être. Une dépendance structurée, maîtrisée et surveillée, comme toutes les autres dans le système.
La cybersécurité a évolué en apprenant à concevoir des systèmes résilients face aux pannes, sauf dans un domaine : nous continuons de concevoir comme si le facteur humain était stable, constant et d'une adaptabilité sans fin. Or, ce n'est pas le cas.
Si le burn-out présentait les mêmes caractéristiques qu'un risque cybernétique traditionnel (forte prévalence, impact mesurable et croissant dans le temps), il serait déjà modélisé, surveillé et pris en charge. Le fait qu'il ne le soit pas ne le rend pas moins réel.
Cela signifie simplement que la décision de ne pas la gérer constitue, en soi, une décision risquée. Une décision que la plupart des organisations n'ont pas prise consciemment.
Élargissez vos connaissances
Blog: La cybersécurité est confrontée à une crise de santé mentale : voici comment la résoudre
