Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?
+ de 5 minutes 
Laurane S.
En outre, 95 % des personnes interrogées déclarent que la pénurie de compétences en cybersécurité et ses conséquences ne se sont pas améliorées au cours des dernières années, tandis que 44 % affirment qu'elle s'est aggravée. Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

Début 2021, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le cinquième projet de recherche annuel axé sur la vie et les expériences des professionnels de la cybersécurité. Le rapport de cette année est basé sur les données d'une enquête mondiale menée auprès de 489 professionnels de la cybersécurité. Le débat sur le déficit de compétences en matière de cybersécurité dure depuis plus de 10 ans, et les données recueillies dans le cadre de ce projet confirment qu'aucun progrès significatif n'a été réalisé pour trouver une solution à ce problème au cours des cinq années où il a fait l'objet d'une étude approfondie. La crise des compétences a eu un impact sur plus de la moitié (57%) des organisations. Les principales conséquences de la pénurie de compétences sont l'augmentation de la charge de travail (62 %), les demandes d'emploi non satisfaites (38 %) et l'épuisement professionnel élevé du personnel (38 %). En outre, 95 % des personnes interrogées déclarent que la pénurie de compétences en cybersécurité et ses conséquences ne se sont pas améliorées au cours des dernières années, tandis que 44 % affirment qu'elle s'est aggravée.

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

L'éducation à la cybersécurité se doit, par une approche holistique, d'être constante. Cela commence par l'éducation publique. Vient ensuite le développement, la cartographie et la planification complète des carrière, le tout avec le soutien de l'intégration de l'entreprise. Cela peut sembler être une entreprise de grande envergure, mais la recherche met également en évidence un changement simple que les organisations peuvent effectuer : Augmenter la rémunération des professionnels de la cybersécurité. En effet, 38 % des personnes interrogées estiment que l'absence de rémunération compétitive est la principale raison pour laquelle la pénurie de compétences en cybersécurité a un impact sur leur organisation. En résumé, il est temps pour les organisations de :

  • Augmenter la valeur commerciale accordée à la sécurité, notamment en créant une culture de la sécurité à tous les niveaux de l'organisation.

  • Offrir des possibilités d'avancement dans le domaine de la cybersécurité et s'engager à renforcer la formation à la cybersécurité dans l'ensemble de l'organisation.

  • Inclure la cybersécurité dans la planification et la stratégie de la direction (c'est-à-dire avec la direction générale et le conseil d'administration). Sur la base des données recueillies dans le cadre de ce projet, le rapport conclut en outre ce qui suit : les professionnels de la cybersécurité dépendent de l'expérience pratique, des certifications de base et de la mise en réseau. Les professionnels de la sécurité de l'information s'accordent à dire que les certifications standard comme le CISSP sont une exigence professionnelle. Toutefois, au-delà de quelques certifications courantes, les données de l'ESG/ISSA indiquent que la progression de carrière est réellement liée à l'expérience pratique et à la mise à profit des réseaux professionnels. Ces éléments sont essentiels pour commencer une carrière en cybersécurité, développer les compétences et trouver différentes opportunités d'emploi, quels que soient les niveaux d'expertise ou d'expérience. Les certifications doivent servir à compléter et non à remplacer les moyens d'éducation plus pratiques. 

  • La réussite et le bonheur d'une carrière en sécurité dépendent d'une forte collaboration. Les professionnels de la cybersécurité sont les plus heureux lorsqu'on leur demande de participer directement à l'ensemble de la planification informatique, mais ils sont frustrés lorsqu'ils sont relégués à un rôle d'administration technologique et contraints de répondre aux besoins de sécurité dans les phases ultérieures des projets. Il en va de même pour la relation entre l'équipe de sécurité et la direction de l'entreprise : elle souhaite participer à la planification des activités, mais elle est souvent exclue des réunions et n'est pas prise en compte dans l'élaboration des plans stratégiques. Pour améliorer la relation entre la sécurité et l'informatique, les répondants à l'enquête suggèrent d'inclure la participation de la sécurité à tous les projets informatiques dès leur lancement, d'intégrer des professionnels de la sécurité dans les départements fonctionnels de l'informatique et de renforcer la formation à la cybersécurité du personnel informatique. Pour améliorer la relation entre la sécurité et la gestion des affaires, les professionnels de la cybersécurité recommandent le rapport de recherche : The Life and Times of Cybersecurity Professionals 2021 5 © 2021 by The Enterprise Strategy Group, Inc. Tous droits réservés. d'encourager la participation de la cybersécurité à la planification des activités, d'améliorer l'identification des cyberrisques et de concentrer les ressources de cybersécurité sur les actifs critiques pour l'entreprise.

  • Le paradoxe de la formation en matière de cybersécurité persiste et nécessite une attention particulière. Pour la cinquième année consécutive, l'étude révèle un déficit de formation en matière de cybersécurité : 91 % des personnes interrogées s'accordent à dire que les professionnels de la cybersécurité doivent se tenir au courant des compétences en la matière, faute de quoi les organisations pour lesquelles ils travaillent sont désavantagées face aux cyber-adversaires. Cependant, malgré cette nécessité, 59 % des professionnels de la cybersécurité reconnaissent que, même s'ils essaient de suivre le développement des compétences en matière de cybersécurité, les exigences professionnelles les en empêchent souvent. ESG et ISSA appellent cette situation le paradoxe de la formation en cybersécurité. Avis aux RSSI : ce déficit de formation augmente discrètement les cyber-risques au sein de votre organisation. Pour y remédier directement, les RSSI doivent faire pression sur l'organisation, en veillant à ce qu'un temps et des ressources de formation suffisants soient intégrés en permanence dans l'emploi du temps de chaque membre du personnel de cybersécurité.

  • La pénurie de compétences en cybersécurité reste un problème perpétuel, sans solution en vue. Cette année, 57 % des organisations affirment être touchées par la pénurie mondiale de compétences en cybersécurité. Bien qu'il s'agisse d'une légère amélioration par rapport aux années précédentes, la situation ne semble pas s'améliorer. En fait, 44 % des répondants à l'enquête assurent que les choses ont empiré au cours des dernières années, tandis que 51 % déclarent que la situation est à peu près la même qu'il y a quelques années. Parmi les organisations touchées par la pénurie de compétences en cybersécurité, les effets les plus importants sont l'augmentation de la charge de travail du personnel de cybersécurité, les nouveaux postes qui restent ouverts pendant des semaines ou des mois, l'épuisement professionnel et l'attrition du personnel de cybersécurité, ainsi que l'incapacité à apprendre ou à utiliser les technologies de sécurité à leur plein potentiel.

  • De nombreuses organisations commettent des erreurs fondamentales lors de l'embauche et du recrutement de professionnels de la cybersécurité. Plus des trois quarts (76 %) des personnes interrogées déclarent qu'il est extrêmement ou assez difficile de recruter et d'embaucher des professionnels de la sécurité. Cette situation est certainement liée à l'offre et à la demande sur le marché des professionnels de la cybersécurité, mais les personnes interrogées ont également pointé du doigt certaines causes organisationnelles : 38 % ont déclaré que leur organisation n'offrait pas de rémunération compétitive, 29 % que leur département des ressources humaines ne comprenait pas les compétences requises pour la cybersécurité et 25 % que les offres d'emploi dans leur organisation avaient tendance à être irréalistes. Fait alarmant, 59 % des personnes interrogées ont déclaré que leur organisation pourrait faire davantage pour remédier à la pénurie de compétences en cybersécurité.

  • Une expérience et des compétences spécifiques en matière de cybersécurité sont très demandées. Lorsqu'on leur a demandé quels types de talents en matière de cybersécurité étaient les plus difficiles à recruter, 41 % ont répondu qu'il s'agissait de professionnels en milieu de carrière (4 à 7 ans d'expérience) et 30 % ont répondu qu'il s'agissait de professionnels expérimentés (7 ans d'expérience et plus). Il est intéressant de noter que les organisations ont moins de difficultés à trouver des responsables de la cybersécurité, probablement parce qu'elles n'en ont besoin que de quelques-uns. Les répondants à l'enquête devaient également indiquer les domaines de compétences les plus rares. Les trois premiers étaient la sécurité de l'informatique en nuage, l'analyse et les enquêtes de sécurité, et la sécurité des applications.

  • Les demandes d'emploi en cybersécurité sont fréquentes et en augmentation. Soixante-dix pour cent des professionnels de la cybersécurité sont sollicités par des recruteurs pour envisager un autre emploi au moins une fois par mois. Ce "marché de vendeurs" ne fait que s'amplifier : 71 % des personnes interrogées affirment que le rythme des sollicitations de recrutement a augmenté au cours des dernières années.

Les professionnels de la cybersécurité ont des recommandations pour remédier à la pénurie de compétences. Les personnes interrogées ont été invitées à indiquer ce que leur organisation pourrait faire pour atténuer l'impact de la pénurie de compétences en cybersécurité. Leurs principales suggestions étaient d'accroître l'engagement de l'organisation en faveur de la formation à la cybersécurité, d'augmenter les niveaux de rémunération pour les rendre plus compétitifs et d'offrir des incitations supplémentaires comme le paiement de certifications ou la participation à des événements du secteur. Comme l'indiquent clairement les recherches ultérieures, la pénurie de compétences en matière de cybersécurité est réelle et entraîne de nombreux problèmes pour les organisations. Dans le même temps, les recherches montrent que certaines organisations se blessent elles-mêmes et ne recrutent pas bien, ne proposent pas le bon niveau de formation ou ne s'attaquent pas à la pénurie de compétences avec les bonnes stratégies. En fait, les deux groupes ont raison : La pénurie de compétences est réelle, mais les organisations pourraient et devraient en faire davantage. La plupart des personnes interrogées estimant que leur organisation pourrait faire plus pour remédier à la pénurie de compétences, l'ESG et l'ISSA leur ont demandé de formuler des recommandations spécifiques (voir figure 24). Les professionnels de la cybersécurité ont suggéré des actions telles que l'augmentation de l'engagement envers la formation en cybersécurité, l'augmentation de la rémunération, l'offre d'avantages supplémentaires et la création ou l'amélioration d'un programme de stages en cybersécurité. Les trois principales recommandations sont claires : les organisations doivent offrir une rémunération, des avantages et des possibilités de formation compétitifs pour attirer les meilleurs talents en matière de cybersécurité. Outre ces éléments de base, les répondants à l'enquête ont formulé d'autres conseils, tels que chercher des talents au-delà de la sécurité et de l'informatique, travailler plus étroitement avec les organisations professionnelles de la cybersécurité et accroître la collaboration avec les collèges et universités locaux. En résumé, un recrutement réussi en matière de cybersécurité nécessite un peu d'expérimentation et de créativité. Les organisations devraient prendre des risques dans le but de créer des programmes qui sont attrayants pour la communauté de la cybersécurité. Les RSSI devraient recueillir d'autres informations et demander l'aide du service des ressources humaines pour créer ce type d'environnement. S'engager personnellement dans le développement des compétences et la formation. En moyenne, les professionnels de la cybersécurité sont censés suivre environ 40 heures de formation par an. L'étude de cette année a révélé que 54 % des personnes interrogées ont déclaré avoir reçu plus de 40 heures de formation au cours de l'année écoulée, 24 % ont reçu environ 40 heures de formation et 21 % ont reçu moins de 40 heures de formation. Ces données semblent positives, mais l'ESG et l'ISSA ont également constaté que de nombreuses heures de "formation" sont en réalité utilisées comme un moyen d'obtenir des crédits FPC plutôt qu'un réel développement des compétences. La carrière d'un professionnel de la cybersécurité est analogue à celle d'un médecin en ce sens que la formation continue est essentielle pour chaque type de profession afin que les compétences et les connaissances des professionnels restent actuelles et pertinentes. Par conséquent, les professionnels de la cybersécurité doivent s'engager à développer leurs compétences et à se former, même si cela implique d'investir leur propre temps/argent ou de faire pression sur les employeurs qui minimisent la formation continue. Compte tenu de l'évolution constante de la cybersécurité, les personnes qui investissent dans leurs propres compétences devraient bénéficier d'un excellent retour sur investissement tout au long de leur carrière.

Retour à la page d'accueil
Sécurité applicative : pourquoi passer au DevSecOps ?

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

Sécuriser son entreprise
Auteur.e :
Laurane S.

Début 2021, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le cinquième projet de recherche annuel axé sur la vie et les expériences des professionnels de la cybersécurité. Le rapport de cette année est basé sur les données d'une enquête mondiale menée auprès de 489 professionnels de la cybersécurité. Le débat sur le déficit de compétences en matière de cybersécurité dure depuis plus de 10 ans, et les données recueillies dans le cadre de ce projet confirment qu'aucun progrès significatif n'a été réalisé pour trouver une solution à ce problème au cours des cinq années où il a fait l'objet d'une étude approfondie. La crise des compétences a eu un impact sur plus de la moitié (57%) des organisations. Les principales conséquences de la pénurie de compétences sont l'augmentation de la charge de travail (62 %), les demandes d'emploi non satisfaites (38 %) et l'épuisement professionnel élevé du personnel (38 %). En outre, 95 % des personnes interrogées déclarent que la pénurie de compétences en cybersécurité et ses conséquences ne se sont pas améliorées au cours des dernières années, tandis que 44 % affirment qu'elle s'est aggravée.

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

L'éducation à la cybersécurité se doit, par une approche holistique, d'être constante. Cela commence par l'éducation publique. Vient ensuite le développement, la cartographie et la planification complète des carrière, le tout avec le soutien de l'intégration de l'entreprise. Cela peut sembler être une entreprise de grande envergure, mais la recherche met également en évidence un changement simple que les organisations peuvent effectuer : Augmenter la rémunération des professionnels de la cybersécurité. En effet, 38 % des personnes interrogées estiment que l'absence de rémunération compétitive est la principale raison pour laquelle la pénurie de compétences en cybersécurité a un impact sur leur organisation. En résumé, il est temps pour les organisations de :

Les professionnels de la cybersécurité ont des recommandations pour remédier à la pénurie de compétences. Les personnes interrogées ont été invitées à indiquer ce que leur organisation pourrait faire pour atténuer l'impact de la pénurie de compétences en cybersécurité. Leurs principales suggestions étaient d'accroître l'engagement de l'organisation en faveur de la formation à la cybersécurité, d'augmenter les niveaux de rémunération pour les rendre plus compétitifs et d'offrir des incitations supplémentaires comme le paiement de certifications ou la participation à des événements du secteur. Comme l'indiquent clairement les recherches ultérieures, la pénurie de compétences en matière de cybersécurité est réelle et entraîne de nombreux problèmes pour les organisations. Dans le même temps, les recherches montrent que certaines organisations se blessent elles-mêmes et ne recrutent pas bien, ne proposent pas le bon niveau de formation ou ne s'attaquent pas à la pénurie de compétences avec les bonnes stratégies. En fait, les deux groupes ont raison : La pénurie de compétences est réelle, mais les organisations pourraient et devraient en faire davantage. La plupart des personnes interrogées estimant que leur organisation pourrait faire plus pour remédier à la pénurie de compétences, l'ESG et l'ISSA leur ont demandé de formuler des recommandations spécifiques (voir figure 24). Les professionnels de la cybersécurité ont suggéré des actions telles que l'augmentation de l'engagement envers la formation en cybersécurité, l'augmentation de la rémunération, l'offre d'avantages supplémentaires et la création ou l'amélioration d'un programme de stages en cybersécurité. Les trois principales recommandations sont claires : les organisations doivent offrir une rémunération, des avantages et des possibilités de formation compétitifs pour attirer les meilleurs talents en matière de cybersécurité. Outre ces éléments de base, les répondants à l'enquête ont formulé d'autres conseils, tels que chercher des talents au-delà de la sécurité et de l'informatique, travailler plus étroitement avec les organisations professionnelles de la cybersécurité et accroître la collaboration avec les collèges et universités locaux. En résumé, un recrutement réussi en matière de cybersécurité nécessite un peu d'expérimentation et de créativité. Les organisations devraient prendre des risques dans le but de créer des programmes qui sont attrayants pour la communauté de la cybersécurité. Les RSSI devraient recueillir d'autres informations et demander l'aide du service des ressources humaines pour créer ce type d'environnement. S'engager personnellement dans le développement des compétences et la formation. En moyenne, les professionnels de la cybersécurité sont censés suivre environ 40 heures de formation par an. L'étude de cette année a révélé que 54 % des personnes interrogées ont déclaré avoir reçu plus de 40 heures de formation au cours de l'année écoulée, 24 % ont reçu environ 40 heures de formation et 21 % ont reçu moins de 40 heures de formation. Ces données semblent positives, mais l'ESG et l'ISSA ont également constaté que de nombreuses heures de "formation" sont en réalité utilisées comme un moyen d'obtenir des crédits FPC plutôt qu'un réel développement des compétences. La carrière d'un professionnel de la cybersécurité est analogue à celle d'un médecin en ce sens que la formation continue est essentielle pour chaque type de profession afin que les compétences et les connaissances des professionnels restent actuelles et pertinentes. Par conséquent, les professionnels de la cybersécurité doivent s'engager à développer leurs compétences et à se former, même si cela implique d'investir leur propre temps/argent ou de faire pression sur les employeurs qui minimisent la formation continue. Compte tenu de l'évolution constante de la cybersécurité, les personnes qui investissent dans leurs propres compétences devraient bénéficier d'un excellent retour sur investissement tout au long de leur carrière.

Retour à l'acceuil
Nos derniers articles
Pourquoi passer au DevSecOps
S'informer
NMAP - Origines & Evolutions
Lire l'article
Pourquoi passer au DevSecOps
S'informer
MIRAI - Analyse d'une attaque sophistiquée
Lire l'article
Pourquoi passer au DevSecOps
Se Protéger
Les mots de passe et leur robustesse
Lire l'article
Accéder à tous les articles

Nos derniers articles

Active Directory - Son rôle & ses avantages

timer for read article
3 minutes
September 14, 2022
Active Directory peut être une solution extrêmement efficace de gestion de votre système d’information si elle est utilisée à bon escient. Quels sont son rôle et ses avantages en entreprise ?
Malek F.

NMAP - Origines & Evolutions

timer for read article
2 minutes
September 6, 2022
Initialement développé pour permettre une cartographie rapide de larges réseaux informatiques, en 25 ans, le créateur de NMAP, a repris ce qu'il se faisait de meilleur sur les autres outils pour aboutir à un outil open source très puissant.
Taha S.

MIRAI - Analyse d'une attaque sophistiquée

timer for read article
+ de 5 minutes 
August 26, 2022
L’attaque date de septembre 2016. Elle est intéressante à analyser, car d’une part, elle est toujours d’actualité en 2022, des souches de MIRAI existent toujours. D’autre part, elle est élégante et sophistiquée par les mécanismes mis en œuvre.
Didier M.