Les professionnels de la cybersécurité continuent de gérer leur carrière de manière tactique avec peu de planification à long terme. De nombreux professionnels de la cybersécurité estiment que leur entreprise doit faire davantage pour répondre aux exigences de la cybersécurité.

La pénurie de compétences en cybersécurité semble s'aggraver, obligeant les professionnels de la cybersécurité débordés à lutter constamment contre les incendies. Bien que la pénurie de compétences se poursuivra sans fin en vue, les recherches de cette année suggèrent que les organisations pourraient et devraient faire davantage pour y remédier.

Points à retenir pour les professionnels de la cybersécurité

Comme dans les rapports précédents, les professionnels de la cybersécurité, en particulier ceux qui en sont aux premiers stades d'une carrière dans le domaine de la cybersécurité ou ceux qui cherchent à entrer dans le domaine, devraient utiliser cette recherche pour planifier leur carrière. Par conséquent, les professionnels de la cybersécurité doivent :

Commencez à mettre en réseau, continuez à travailler Les répondants au sondage recommandent que les professionnels de la sécurité d'entrée de gamme rejoignent une organisation professionnelle pour décrocher leur premier emploi. Les données montrent également que les organisations professionnelles agissent comme un catalyseur pour la recherche d'emploi, le développement de carrière et la formation continue. Ensemble, la recherche ESG/AISS démontre que les organisations professionnelles peuvent aider tout au long d'une carrière en cybersécurité, en versant des dividendes sur le temps et l'argent investis. L'AISS est en soi un bon choix, mais les données semblent indiquer que les professionnels de la cybersécurité bénéficieront des avantages d'autres organisations régionales, industrielles et professionnelles.

Résistez au chargement de la certification : cela ne paie pas. Après cinq ans de recherche, il est clair pour ESG et l'ISSA qu'un CISSP et quelques autres certifications limitées peuvent constituer des éléments de base précieux pour une carrière en cybersécurité. D'autres peuvent paraître bien sur un CV ou une carte de visite, mais les professionnels de la cybersécurité prétendent toujours tirer beaucoup plus parti de leur expérience pratique comme les stages, les programmes de mentorat ou la rotation du personnel. Les certifications de sécurité doivent être utilisées pour des cas d'utilisation spécifiques, pour répondre aux exigences du poste ou pour augmenter la période d'expérience en cours d'emploi.

S'engager personnellement en faveur du développement des compétences et de la formation. En moyenne, les professionnels de la cybersécurité devraient suivre une formation d'environ 40 heures. La recherche de cette année a révélé que 54 % des personnes interrogées ont déclaré avoir suivi plus de 40 heures de formation au cours de la dernière année, 24 % ont suivi environ 40 heures de formation et 21 % ont suivi moins de 40 heures de formation. Ces données semblent positives, mais l'ESG et l'AISS ont également constaté que de nombreuses heures de « formation » sont réellement utilisées comme moyen d'obtenir des crédits de CPE plutôt que de véritables compétences. Une carrière professionnelle en cybersécurité est analogue à celle d'un médecin en ce sens que la formation continue est essentielle pour chaque type de profession afin de maintenir les compétences et les connaissances des professionnels à jour et pertinentes. Par conséquent, les professionnels de la cybersécurité doivent s'engager dans le développement des compétences et la formation, même si cela implique d'investir leur propre temps/argent ou de repousser les employeurs qui minimisent la formation continue. Compte tenu de la nature en constante évolution de la cybersécurité, les personnes qui investissent dans leurs propres compétences devraient bénéficier d'un retour sur investissement important tout au long de leur carrière.

Choisissez une voie technologique ou commerciale à suivre. Les carrières en cybersécurité mènent à deux axes principaux. L'un aligne la sécurité et les opérations commerciales, aboutissant à des postes de « niveau C » tels que RSSI, Data Privacy Officer, etc. L'autre se penche sur la technologie vers des postes comme ingénieur de sécurité, architecte de sécurité cloud, analyste des menaces, etc. Évidemment, chaque voie nécessite des compétences différentes, mais la recherche ESG/ISSA montre que de nombreux professionnels de la cybersécurité gèrent leur carrière au hasard sans objectif final en tête. En effet, il est difficile de prévoir cinq ou dix ans dans l'avenir, mais à tout le moins, les professionnels de la cybersécurité devraient décider s'ils se voient dans des rôles techniques ou commerciaux. Une fois cette décision prise, ils devraient se pencher sur la chaîne de commandement et sur les compétences et expériences dont ils auront besoin pour accéder aux prochains postes les plus élevés.

N'oubliez pas que lorsque vous envisagez un nouvel emploi, les relations comptent. La recherche ESG/AISS indique que les professionnels de la cybersécurité obtiennent une satisfaction professionnelle grâce à des éléments tels que la rémunération compétitive, la capacité de travailler avec une équipe solide et des technologies de pointe, ainsi que des avantages supplémentaires pour les voyages, la formation, la participation au secteur, etc. Bien qu'il s'agisse certainement d'incitations intéressantes, les professionnels de la sécurité de l'information doivent se rappeler qu'il devrait y avoir de nombreux emplois ouverts offrant ces avantages. Par conséquent, ESG et AISS recommandent d'aller plus loin en posant des questions telles que : Quelle est la relation entre la sécurité et les services informatiques ? Ces équipes collaborent-elles bien ou y a-t-il des frictions ? Les dirigeants et le conseil d'administration incluent-ils la cybersécurité dans la planification stratégique et la prise de décision ? Quelle est la relation entre l'équipe de sécurité et les équipes RH, juridiques et secteurs d'activité ? Étant donné que la cybersécurité est un véritable effort de collaboration, ces relations pourraient déterminer le succès du programme de cybersécurité. Il vaut la peine de faire des recherches de fond, de poser des questions et de rencontrer des gestionnaires non techniques dans le cadre du processus d'entrevue.

Points à retenir pour les RSSI et les organisations

Cette recherche devrait servir de guide pour constituer une équipe de cybersécurité forte et heureuse. Les RSSI et leurs organisations doivent suivre les conseils suivants :

Pour l'amour de Dieu, payez votre peuple ! Une rémunération compétitive est apparue à plusieurs reprises dans ce projet de recherche et est clairement essentielle à l'embauche et au maintien en poste du personnel de sécurité. Compte tenu de la concurrence pour les talents en sécurité, les organisations qui ne peuvent pas atteindre ce seuil ne réussiront pas à embaucher et perdront probablement du personnel de sécurité clé qui est constamment poursuivi par les recruteurs et d'autres organisations. Les RSSI doivent adopter des modèles de personnel et des échelons de rémunération archaïques et porter cette question directement aux dirigeants et aux conseils d'administration des entreprises dans la poursuite de changements à court terme dans les structures de rémunération. Les chefs d'entreprise doivent se rendre compte que sans un personnel de sécurité expérimenté, tous les investissements et stratégies de sécurité échoueront.

Entraînement de la sécurité dans l'entreprise. Les organisations devraient être alarmées par le fait que 29 % des répondants ont déclaré que la relation de l'équipe de sécurité avec les RH est juste ou mauvaise, 28 % ont déclaré que la relation avec les chefs d'entreprise est juste ou mauvaise, 27 % ont déclaré que la relation avec le conseil d'administration est juste ou mauvaise, et 24 % ont déclaré que le les relations avec l'équipe juridique sont justes ou médiocres. Cela devrait déclencher une sonnette d'alarme pour résoudre ces problèmes organisationnels dès que possible. Les RSSI devraient immédiatement évaluer ces relations au sein de leur organisation, tandis que les conseils d'administration devraient faire de même. De mauvaises relations entraîneront des frictions organisationnelles, des problèmes de communication, des erreurs humaines et, en fin de compte, un cyberrisque accru. Le message est clair : les organisations qui ont une culture de la cybersécurité sont les mieux placées. Certes, les dirigeants d'entreprise doivent adopter la cybersécurité, mais il est également important pour les RSSI de rapprocher leur personnel, leurs processus et leurs technologies de l'entreprise. Cela peut nécester une formation, une collaboration interministérielle étendue et une réingénierie des processus, qui sont des changements difficiles mais qui en valent la peine.

Trouvez du temps et des ressources pour davantage de formation en cybersécurité et de développement des compétences. Certains RSSI estiment qu'investir dans la formation est un gaspillage d'argent qui sert de formation gratuite aux professionnels de la cybersécurité qui finiront par quitter l'organisation pour des pâturages plus verts. L'ESG et l'AISS estiment que cette croyance ne saurait être plus malavisée. Les employés consciencieux qui s'attendent à une formation continue vont simplement investir leur temps et leur argent tout en continuant à ressentir l'organisation. D'autres vont languir avec des compétences de plus en plus limitées. Dans le même temps, les cyberrisques augmentent continuellement. Avec l'état actuel du marché des compétences en cybersécurité, certains employés trouveront certainement des opportunités plus lucratives, mais investir dans la formation en sécurité améliorera l'efficacité du personnel de cybersécurité, renforcera le moral et aidera les organisations à atténuer les risques cybernétiques. De tels avantages valent largement l'investissement.

Puisque la pénurie de compétences en cybersécurité ne disparaît pas, élaborez un plan à long terme pour y remédier. Comme mentionné précédemment, la pénurie de compétences en cybersécurité a créé une pénurie de professionnels qualifiés en cybersécurité ainsi qu'un manque persistant de compétences avancées en cybersécurité. Peu d'organisations disposent des ressources et de l'attrait nécessaires pour embaucher tous les talents dont elles ont besoin, et cinq ans de données ESG/AISS indiquent que rien ne va changer de sitôt. Par conséquent, les RSSI ont besoin d'une stratégie réaliste qui prend en charge les risques liés au personnel et aux compétences. Par exemple, les entreprises qui ont du mal à doter entièrement le centre des opérations de sécurité (SOC) devraient envisager d'investir dans l'automatisation des processus et les services gérés pour augmenter leur personnel. L'objectif ici doit être de couvrir toutes les exigences de sécurité tout en rendant le personnel existant aussi efficace et productif que possible.

Réfléchissez à ce qui est nécessaire pour faire de votre organisation une destination attrayante pour les professionnels de la cybersécurité. Les RSSI proactifs souhaitent conserver le personnel existant tout en recrutant de nouveaux employés. La recherche ESG/AISS fournit une recette pour y parvenir. D'abord et avant tout, l'organisation doit offrir une rémunération compétitive, y compris des avantages pour la formation continue et le développement de carrière. Les programmes de stages peuvent plaire aux candidats débutants et créer un pipeline pour les nouveaux employés, tandis que les programmes de mentorat et de rotation du personnel aideront à former et à acclimater des personnes talentueuses. Les entreprises qui créent une culture de la cybersécurité et qui introduiront la cybersécurité dans la planification commerciale et informatique bénéficieront d'un avantage certain. Enfin, les RSSI devraient s'appuyer sur les organisations professionnelles, les groupes locaux de partage des menaces, les collèges et universités, etc., pour faire connaître les avantages de l'emploi dans leurs organisations. Bien que cette stratégie n'élimine pas l'attrition, elle doit créer un environnement de travail sain et attrayant.