.png)
L'année dernière, le déficit de compétences a fait un bond stupéfiant de 73 % au Royaume-Uni, d'après l'étude de l'Institut de recherche sur les politiques de l'emploi (IRAE). ISC(2)) 2022 Cybersecurity Workforce Study, et on estime qu'il y a 3,4 millions de postes vacants dans le secteur. Étant donné que la main-d'œuvre mondiale dans le domaine de la cybersécurité s'élève à 4,7 millions de personnes, cela signifie qu'il y a un déficit de 42 % en termes réels.
Les effets de ces pénuries se font maintenant sentir, les organisations ayant du mal à recruter suffisamment de talents et à maintenir les niveaux de sécurité.
L'année dernière, un rapport du Forum économique mondial a révélé que 60 % des entreprises déclaraient qu'il leur serait difficile de répondre à un incident de cybersécurité en raison de la pénurie de compétences au sein de leur équipe. Ces craintes s'avèrent justifiées puisque, parmi les entreprises ayant subi une cyberattaque, 69 % se sont révélées être “quelque peu ou fortement en sous-effectif”, selon l'étude de l'Institut de recherche sur les technologies de l'information et de la communication. ISACA Rapport sur l'état de la cybersécurité en 2022.
En outre, le Fortinet Cybersecurity Skills Gap Global Research Report, 80 % des organisations interrogées dans le monde ont subi une ou plusieurs violations pouvant être attribuées à un manque de compétences en cybersécurité et 67 % reconnaissent que la pénurie de candidats qualifiés en cybersécurité crée un risque supplémentaire.
Là où les failles apparaissent
Comment ces risques se manifestent-ils ? Il va de soi que l'équipe de sécurité devra établir des priorités dans sa charge de travail et que certaines des tâches les plus “banales” seront donc mises de côté. Selon le rapport de l'ISC(2), les équipes déclarent manquer de temps pour effectuer l'évaluation et la gestion des risques (48 %, contre 31 % l'année précédente), les oublis de processus et de procédures (43 %, contre 29 %) et les correctifs tardifs (39 %, contre 29 %).
En pratique, cela signifie que l'équipe de sécurité devient moins proactive et plus réactive, ce qui nous ramène inévitablement à une approche de la sécurité de type “whack-a-mole”. Il n'est donc pas étonnant que Gartner ait déclaré que d'ici 2025, “le manque de talent et l'échec humain seront responsables de plus de la moitié des cyberincidents importants”.
Les pénuries peuvent également entraîner un glissement de tâches, c'est-à-dire que les membres de l'équipe se voient confier davantage de travail ou des tâches pour lesquelles ils n'ont pas été formés. Un récent rapport sur l'état de la sécurité en 2022 de Splunk a révélé que 76 % des membres des équipes de sécurité ont été contraints d'assumer des responsabilités pour lesquelles ils n'étaient pas prêts, ce qui les a conduits à se sentir débordés, sous pression et à risquer de commettre une erreur. Cette situation crée à son tour un cercle vicieux, car les employés désillusionnés et stressés sont plus susceptibles de partir. Il en va de même pour ceux qui travaillent dans des organisations où une faille s'est produite : 54 % de l'ensemble du personnel déclare qu'il envisagerait de quitter l'entreprise après une faille, ce qui montre à quel point la sécurité est essentielle à la confiance dans l'entreprise.
La mauvaise nouvelle, c'est qu'il y a peu de chances que la situation s'améliore. Le ministère du numérique, de la culture, des médias et des sports (DCMS) a revu ses prévisions à la hausse de plus de 40 % l'année dernière, déclarant qu'il faudrait 14 100 nouveaux entrants par an pour répondre à la demande. À l'autre bout du spectre, nous voyons des professionnels expérimentés partir en masse, une étude récente révélant que 32 % des RSSI et des responsables de la sécurité au Royaume-Uni et aux États-Unis sont “en train de perdre leur emploi”, ce qui signifie qu'ils ne sont pas prêts à partir. envisagent de démissionner.
Remédier à la pénurie
La bonne nouvelle, c'est que les entreprises commencent à explorer d'autres options pour aider à résoudre le problème de la pénurie. L'étude de l'ISC)2) a montré que des mesures proactives peuvent réellement faire la différence. Faire en sorte que les employés sentent que leur contribution est appréciée, leur fournir une formation et établir un plan de carrière sont autant d'éléments qui peuvent encourager le personnel à rester. En interne également, il convient d'étudier les possibilités d'évolution du personnel d'autres services vers la sécurité et de mettre en place un programme de mentorat pour les soutenir.
L'automatisation est une autre piste à explorer, un quart des personnes interrogées dans le cadre de l'étude de l'ISC(2) ayant l'intention d'investir dans ce domaine à l'avenir. Ces solutions de cybersécurité peuvent s'avérer précieuses pour automatiser des processus reproductibles, permettant ainsi aux équipes de sécurité de se concentrer sur des tâches de plus haut niveau, d'accroître leur productivité et d'atténuer leur stress. Mais elles complètent le talent et ne s'y substituent pas.
Ce que beaucoup doivent faire, c'est réévaluer leurs stratégies de recrutement. Les initiatives en faveur de la diversité, de l'équité et de l'inclusion (DEI) contribuent à ouvrir le terrain de jeu mais on accorde encore trop d'importance aux qualifications et aux certifications, ce qui peut avoir pour effet d'exclure des candidats viables du processus. Il convient plutôt de s'intéresser aux compétences transférables des candidats, telles que les compétences non techniques en matière de communication et de leadership, et de chercher à tester leurs aptitudes et leur capacité à résoudre des problèmes au cours de l'entretien.
Selon l'ISC(2), près de la moitié des personnes de moins de 30 ans qui travaillent aujourd'hui dans la profession sont issues d'une carrière en dehors de l'informatique, ce qui signifie que les gens se battent pour entrer dans la profession à partir de disciplines sans rapport avec elle. Si nous ne leur donnons pas la possibilité de faire leurs preuves, nous les privons d'une carrière prometteuse et nous privons le secteur des nouvelles recrues dont il a tant besoin.
Jamal Elmellas est directeur de l'exploitation de Focus-on-Security
A lire également :
La normalisation de la profession de cybersécurité est-elle une bonne chose ?:
___________________________________________________________________________________________
Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel : £5 par mois ou £50 par an. S'inscrire
- Comptes multi-utilisateurs, d'entreprise et de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé, organisé et accessible
