Sécurité applicative : pourquoi passer au DevSecOps ?

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

Anticiper

Début 2021, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le cinquième projet de recherche annuel axé sur la vie et les expériences des professionnels de la cybersécurité. Le rapport de cette année est basé sur les données d'une enquête mondiale menée auprès de 489 professionnels de la cybersécurité. Le débat sur le déficit de compétences en matière de cybersécurité dure depuis plus de 10 ans, et les données recueillies dans le cadre de ce projet confirment qu'aucun progrès significatif n'a été réalisé pour trouver une solution à ce problème au cours des cinq années où il a fait l'objet d'une étude approfondie. La crise des compétences a eu un impact sur plus de la moitié (57%) des organisations. Les principales conséquences de la pénurie de compétences sont l'augmentation de la charge de travail (62 %), les demandes d'emploi non satisfaites (38 %) et l'épuisement professionnel élevé du personnel (38 %). En outre, 95 % des personnes interrogées déclarent que la pénurie de compétences en cybersécurité et ses conséquences ne se sont pas améliorées au cours des dernières années, tandis que 44 % affirment qu'elle s'est aggravée.

Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?

L'éducation à la cybersécurité se doit, par une approche holistique, d'être constante. Cela commence par l'éducation publique. Vient ensuite le développement, la cartographie et la planification complète des carrière, le tout avec le soutien de l'intégration de l'entreprise. Cela peut sembler être une entreprise de grande envergure, mais la recherche met également en évidence un changement simple que les organisations peuvent effectuer : Augmenter la rémunération des professionnels de la cybersécurité. En effet, 38 % des personnes interrogées estiment que l'absence de rémunération compétitive est la principale raison pour laquelle la pénurie de compétences en cybersécurité a un impact sur leur organisation. En résumé, il est temps pour les organisations de :

Les professionnels de la cybersécurité ont des recommandations pour remédier à la pénurie de compétences. Les personnes interrogées ont été invitées à indiquer ce que leur organisation pourrait faire pour atténuer l'impact de la pénurie de compétences en cybersécurité. Leurs principales suggestions étaient d'accroître l'engagement de l'organisation en faveur de la formation à la cybersécurité, d'augmenter les niveaux de rémunération pour les rendre plus compétitifs et d'offrir des incitations supplémentaires comme le paiement de certifications ou la participation à des événements du secteur. Comme l'indiquent clairement les recherches ultérieures, la pénurie de compétences en matière de cybersécurité est réelle et entraîne de nombreux problèmes pour les organisations. Dans le même temps, les recherches montrent que certaines organisations se blessent elles-mêmes et ne recrutent pas bien, ne proposent pas le bon niveau de formation ou ne s'attaquent pas à la pénurie de compétences avec les bonnes stratégies. En fait, les deux groupes ont raison : La pénurie de compétences est réelle, mais les organisations pourraient et devraient en faire davantage. La plupart des personnes interrogées estimant que leur organisation pourrait faire plus pour remédier à la pénurie de compétences, l'ESG et l'ISSA leur ont demandé de formuler des recommandations spécifiques (voir figure 24). Les professionnels de la cybersécurité ont suggéré des actions telles que l'augmentation de l'engagement envers la formation en cybersécurité, l'augmentation de la rémunération, l'offre d'avantages supplémentaires et la création ou l'amélioration d'un programme de stages en cybersécurité. Les trois principales recommandations sont claires : les organisations doivent offrir une rémunération, des avantages et des possibilités de formation compétitifs pour attirer les meilleurs talents en matière de cybersécurité. Outre ces éléments de base, les répondants à l'enquête ont formulé d'autres conseils, tels que chercher des talents au-delà de la sécurité et de l'informatique, travailler plus étroitement avec les organisations professionnelles de la cybersécurité et accroître la collaboration avec les collèges et universités locaux. En résumé, un recrutement réussi en matière de cybersécurité nécessite un peu d'expérimentation et de créativité. Les organisations devraient prendre des risques dans le but de créer des programmes qui sont attrayants pour la communauté de la cybersécurité. Les RSSI devraient recueillir d'autres informations et demander l'aide du service des ressources humaines pour créer ce type d'environnement. S'engager personnellement dans le développement des compétences et la formation. En moyenne, les professionnels de la cybersécurité sont censés suivre environ 40 heures de formation par an. L'étude de cette année a révélé que 54 % des personnes interrogées ont déclaré avoir reçu plus de 40 heures de formation au cours de l'année écoulée, 24 % ont reçu environ 40 heures de formation et 21 % ont reçu moins de 40 heures de formation. Ces données semblent positives, mais l'ESG et l'ISSA ont également constaté que de nombreuses heures de "formation" sont en réalité utilisées comme un moyen d'obtenir des crédits FPC plutôt qu'un réel développement des compétences. La carrière d'un professionnel de la cybersécurité est analogue à celle d'un médecin en ce sens que la formation continue est essentielle pour chaque type de profession afin que les compétences et les connaissances des professionnels restent actuelles et pertinentes. Par conséquent, les professionnels de la cybersécurité doivent s'engager à développer leurs compétences et à se former, même si cela implique d'investir leur propre temps/argent ou de faire pression sur les employeurs qui minimisent la formation continue. Compte tenu de l'évolution constante de la cybersécurité, les personnes qui investissent dans leurs propres compétences devraient bénéficier d'un excellent retour sur investissement tout au long de leur carrière.

Retour à l'acceuil
Nos derniers articles
Pourquoi passer au DevSecOps
Anticiper
Que faut-il faire pour remédier à la pénurie de compétences en cybersécurité ?
Lire l'article
Pourquoi passer au DevSecOps
Protéger
Les 5 plus gros hacks de l'Histoire en entreprise
Lire l'article
Pourquoi passer au DevSecOps
Anticiper
Gouvernance et gestion des risques, l'affaire de tous en entreprise !
Lire l'article