CONCLUSIONS DU RAPPORT

Début 2021, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le cinquième projet de recherche annuel axé sur la vie et les expériences des professionnels de la cybersécurité. Le rapport de cette année est basé sur les données d'une enquête mondiale menée auprès de 489 professionnels de la cybersécurité.

La discussion sur les lacunes en matière de compétences en cybersécurité dure depuis plus de 10 ans, et les données recueillies pour ce projet confirment qu'il n'y a pas eu de progrès significatif vers une solution à ce problème au cours des cinq années où il a fait l'objet de recherches approfondies. La crise des compétences a touché plus de la moitié (57 %) des organisations. Les principales ramifications de la pénurie de compétences sont une charge de travail croissante (62 %), des demandes d'emploi ouvertes non remplies (38 %) et un épuisement professionnel élevé parmi le personnel (38 %). De plus, 95 % des répondants affirment que la pénurie de compétences en cybersécurité et ses impacts associés ne se sont pas améliorés au cours des dernières années, tandis que 44 % affirment que la situation n'a fait qu'empirer.

Quels sont les éléments nécessaires pour remédier à la pénurie de compétences en cybersécurité ? Une approche holistique de la formation continue à la cybersécurité (en commençant par l'éducation du public) et du développement de carrière complet, de la cartographie et de la planification, le tout avec un soutien et une intégration à l'entreprise. Cela peut sembler une entreprise importante, mais l'étude met également en évidence un changement simple que les organisations peuvent apporter : augmenter la rémunération des professionnels de la cybersécurité. En effet, 38 % des personnes interrogées estiment que l'absence de rémunération compétitive est la principale raison de la pénurie de compétences en cybersécurité qui affecte leur organisation. En résumé, il est temps pour les organisations de :

Accroître la valeur commerciale accordée à la sécurité, notamment en créant une culture de la sécurité à tous les niveaux de l'organisation.

Offrez des opportunités d'avancement professionnel en cybersécurité et engagez une formation accrue en cybersécurité dans l'ensemble de l'organisation.

Intégrer la cybersécurité dans la planification et la stratégie exécutives (c.-à-d. avec la direction et le conseil d'administration).

Sur la base des données recueillies dans le cadre de ce projet, le rapport conclut en outre :

Les professionnels de la cybersécurité dépendent de leur expérience pratique, de certifications de base et de la mise en réseau. Les professionnels de la sécurité de l'information conviennent que les certifications standard telles qu'un CISSP sont une exigence professionnelle. Au-delà de quelques certifications courantes, les données ESG/ISSA indiquent que la progression de carrière est vraiment liée à l'expérience pratique et à l'utilisation des réseaux professionnels. Ils sont essentiels pour commencer une carrière en cybersécurité, développer des compétences et trouver différentes opportunités d'emploi, quels que soient leur niveau d'expertise ou d'expérience. Les certifications devraient être utilisées pour compléter et non remplacer des véhicules éducatifs plus pratiques.

La réussite professionnelle et le bonheur dans la sécurité dépendent d'une collaboration solide. Les professionnels de la cybersécurité sont plus heureux lorsqu'on leur demande de participer directement à toute la planification informatique, mais ils sont frustrés lorsqu'ils sont relégués à un rôle d'administration technologique et contraints de répondre aux besoins de sécurité dans les phases ultérieures des projets. Il en va de même pour la relation de l'équipe de sécurité avec la direction de l'entreprise : ils veulent participer à la planification des activités, mais ils sont souvent exclus des réunions et ne sont pas pris en compte dans l'élaboration des plans stratégiques. Pour améliorer la relation entre la sécurité et l'informatique, les personnes interrogées suggèrent d'inclure la participation à la sécurité dans tous les projets informatiques dès le début, d'intégrer des professionnels de la sécurité dans les départements fonctionnels informatiques et d'augmenter la formation en cybersécurité du personnel informatique. Pour améliorer la relation entre la sécurité et la gestion de l'entreprise, les professionnels de la cybersécurité recommandent d'encourager la participation de la cybersécurité à la planification des activités, d'améliorer l'identification des risques cybernétiques et de concentrer les ressources de cybersécurité sur les actifs critiques pour l'entreprise.

Le paradoxe de la formation en cybersécurité continue et nécessite une attention particulière. Pour la cinquième année consécutive, l'étude révèle une lacune en matière de formation en cybersécurité : 91 % des personnes interrogées s'accordent à dire que les professionnels de la cybersécurité doivent suivre leurs compétences en cybersécurité ou que les organisations pour lesquelles ils travaillent sont désavantagées par rapport aux cyber-adversaires. Malgré ce besoin, 59 % des professionnels de la cybersécurité sont d'accord pour dire que même s'ils essaient de suivre le développement des compétences en cybersécurité, les exigences professionnelles les empêchent souvent. L'ESG et l'AISS appellent cette situation le paradoxe de la formation en cybersécurité. Les RSSI prennent note : Ce manque de formation augmente discrètement les cyberrisques au sein de votre organisation. Pour y remédier directement, les RSSI doivent pousser l'organisation, en veillant à ce qu'un temps de formation et des ressources suffisants soient intégrés à chaque membre du personnel de cybersécurité sur une base continue.

La pénurie de compétences en cybersécurité demeure un problème perpétuel sans solution en vue. Cette année, 57 % des entreprises affirment être touchées par la pénurie mondiale de compétences en cybersécurité. Bien qu'il s'agisse d'une légère amélioration par rapport aux années passées, la situation ne semble pas s'améliorer. En fait, 44 % des répondants affirment que la situation s'est aggravée au cours des dernières années, tandis que 51 % affirment que la situation est à peu près la même qu'il y a quelques années. Parmi les organisations touchées par la pénurie de compétences en cybersécurité, les effets les plus importants sont l'augmentation de la charge de travail du personnel de cybersécurité, de nouveaux emplois qui restent ouverts pendant des semaines ou des mois, l'épuisement et l'attrition élevés du personnel de cybersécurité, ainsi qu'une incapacité à apprendre ou à utiliser pleinement les technologies de sécurité potentiel.

De nombreuses organisations commettent des erreurs élémentaires en embauchant et en recrutant des professionnels de la cybersécurité. Plus des trois quarts (76 %) des répondants affirment qu'il est extrêmement ou plutôt difficile de recruter et d'embaucher des professionnels de la sécurité. Cela est certainement lié à l'offre et à la demande sur le marché professionnel de la cybersécurité, mais les personnes interrogées ont également souligné certaines causes organisationnelles : 38 % ont déclaré que leur organisation n'offre pas de rémunération compétitive, 29 % ont déclaré que leur service RH ne comprend pas les compétences nécessaires à la cybersécurité, et 25 % ont déclaré que les offres d'emploi dans leur organisation avaient tendance à être irréalistes. Il est alarmant de constater que 59 % des répondants ont déclaré que leur organisation pourrait faire davantage pour remédier à la pénurie de compétences en cybersécurité.

L'expérience et les compétences spécifiques en cybersécurité sont très demandées. Lorsqu'on leur a demandé quels types de talents en cybersécurité étaient les plus difficiles à embaucher, 41 % ont répondu à des professionnels en milieu de carrière (c.-à-d. 4 à 7 ans d'expérience) et 30 % à des professionnels de carrière supérieurs (soit plus de 7 ans d'expérience). Il est intéressant de noter que les entreprises ont moins de mal à trouver des leaders en cybersécurité, probablement parce qu'elles n'en ont besoin que de quelques-uns. Les répondants à l'enquête ont également été interrogés sur les domaines de compétences les plus courts. Les trois premiers étaient la sécurité du cloud computing, l'analyse et les enquêtes de sécurité et la sécurité des applications.

La sollicitation d'emplois dans le domaine de la cybersécurité est fréquente et croissante. Soixante-dix pour cent des professionnels de la cybersécurité sont sollicités par les recruteurs pour envisager un autre emploi au moins une fois par mois. Ce « marché des vendeurs » ne fait que prendre de l'ampleur : 71 % des personnes interrogées affirment que le rythme des sollicitations de recrutement a augmenté au cours des dernières années.

Les professionnels de la cybersécurité ont des recommandations pour remédier à la pénurie de compétences. On a demandé aux répondants ce que leur organisation pouvait faire pour remédier à l'impact de la pénurie de compétences en cybersécurité. Leurs principales suggestions étaient d'accroître l'engagement de l'organisation à l'égard de la formation en cybersécurité, d'augmenter les niveaux de rémunération pour les rendre plus compétitifs et de fournir des incitations supplémentaires telles que le paiement des certifications ou la participation à des événements de l'industrie.