Report Conclusions |
CONCLUSIONS DU RAPPORT |
In early 2021, the Enterprise Strategy Group (ESG) and the Information Systems Security Association (ISSA) conducted the fifth annual research project focused on the lives and experiences of cybersecurity professionals. This year’s report is based on data from a global survey of 489 cybersecurity professionals. |
Début 2021, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le cinquième projet de recherche annuel axé sur la vie et les expériences des professionnels de la cybersécurité. Le rapport de cette année est basé sur les données d'une enquête mondiale menée auprès de 489 professionnels de la cybersécurité. |
The cybersecurity skills gap discussion has been going on for over 10 years, and the data gathered for this project confirms that there has been no significant progress toward a solution to this problem during the five years it has been closely researched. The skills crisis has impacted over half (57%) of organizations. The top ramifications of the skills shortage include an increasing workload (62%), unfilled open job requisitions (38%), and high burnout among staff (38%). Further, 95% of respondents state the cybersecurity skills shortage and its associated impacts have not improved over the past few years while 44% say it has only gotten worse. |
La discussion sur les lacunes en matière de compétences en cybersécurité dure depuis plus de 10 ans, et les données recueillies pour ce projet confirment qu'il n'y a pas eu de progrès significatif vers une solution à ce problème au cours des cinq années où il a fait l'objet de recherches approfondies. La crise des compétences a touché plus de la moitié (57 %) des organisations. Les principales ramifications de la pénurie de compétences sont une charge de travail croissante (62 %), des demandes d'emploi ouvertes non remplies (38 %) et un épuisement professionnel élevé parmi le personnel (38 %). De plus, 95 % des répondants affirment que la pénurie de compétences en cybersécurité et ses impacts associés ne se sont pas améliorés au cours des dernières années, tandis que 44 % affirment que la situation n'a fait qu'empirer. |
What’s needed to address the cybersecurity skills shortage? A holistic approach of continuous cybersecurity education (starting with public education) and comprehensive career development, mapping, and planning—all with support and integration with the business. This may seem like a big undertaking, but the research also points to one simple change organizations can make: Increase cybersecurity professional compensation. Indeed, 38% of respondents believe that the lack of competitive compensation is the biggest reason the cybersecurity skills shortage is impacting their organization. In summary, it is time for organizations to: |
Quels sont les éléments nécessaires pour remédier à la pénurie de compétences en cybersécurité ? Une approche holistique de la formation continue à la cybersécurité (en commençant par l'éducation du public) et du développement de carrière complet, de la cartographie et de la planification, le tout avec un soutien et une intégration à l'entreprise. Cela peut sembler une entreprise importante, mais l'étude met également en évidence un changement simple que les organisations peuvent apporter : augmenter la rémunération des professionnels de la cybersécurité. En effet, 38 % des personnes interrogées estiment que l'absence de rémunération compétitive est la principale raison de la pénurie de compétences en cybersécurité qui affecte leur organisation. En résumé, il est temps pour les organisations de : |
Increase the business value placed on security, including the creation of a culture of security at all levels of the organization. |
Accroître la valeur commerciale accordée à la sécurité, notamment en créant une culture de la sécurité à tous les niveaux de l'organisation. |
Offer cybersecurity career advancement opportunities and make a commitment to increased cybersecurity training across the organization. |
Offrez des opportunités d'avancement professionnel en cybersécurité et engagez une formation accrue en cybersécurité dans l'ensemble de l'organisation. |
Include cybersecurity as part of executive planning and strategy (i.e., with executive management and the board of directors). |
Intégrer la cybersécurité dans la planification et la stratégie exécutives (c.-à-d. avec la direction et le conseil d'administration). |
Based upon the data gathered as part of this project, the report additionally concludes: |
Sur la base des données recueillies dans le cadre de ce projet, le rapport conclut en outre : |
Cybersecurity professionals depend upon hands-on experience, basic certifications, and networking. Information security professionals agree that standard certifications like a CISSP are a professional requirement. Beyond a few common certifications however, the ESG/ISSA data indicates that career progression is really tied to hands-on experience and taking advantage of professional networks. These are essential for beginning a cybersecurity career, skills development, and finding different job opportunities regardless of expertise or experience levels. Certifications should be used to supplement and not replace more practical education vehicles. |
Les professionnels de la cybersécurité dépendent de leur expérience pratique, de certifications de base et de la mise en réseau. Les professionnels de la sécurité de l'information conviennent que les certifications standard telles qu'un CISSP sont une exigence professionnelle. Au-delà de quelques certifications courantes, les données ESG/ISSA indiquent que la progression de carrière est vraiment liée à l'expérience pratique et à l'utilisation des réseaux professionnels. Ils sont essentiels pour commencer une carrière en cybersécurité, développer des compétences et trouver différentes opportunités d'emploi, quels que soient leur niveau d'expertise ou d'expérience. Les certifications devraient être utilisées pour compléter et non remplacer des véhicules éducatifs plus pratiques. |
Security career success and happiness depends upon strong collaboration. Cybersecurity professionals are happiest when they are asked to participate directly in all IT planning but grow frustrated when they are relegated to a technology administration role and forced to address security needs in later phases of projects. The same is true of the security team’s relationship with business management: They want to participate in business planning, but they are often shut out of meetings and not considered in the development of strategic plans. To improve the relationship between security and IT, survey respondents suggest including security participation in all IT projects from their onset, embedding security professionals within IT functional departments and increasing cybersecurity training for IT staff. To enhance the relationship between security and business management, cybersecurity professionals recommend encouraging cybersecurity participation in business planning, improving cyber-risk identification, and focusing cybersecurity resources on business-critical assets. |
La réussite professionnelle et le bonheur dans la sécurité dépendent d'une collaboration solide. Les professionnels de la cybersécurité sont plus heureux lorsqu'on leur demande de participer directement à toute la planification informatique, mais ils sont frustrés lorsqu'ils sont relégués à un rôle d'administration technologique et contraints de répondre aux besoins de sécurité dans les phases ultérieures des projets. Il en va de même pour la relation de l'équipe de sécurité avec la direction de l'entreprise : ils veulent participer à la planification des activités, mais ils sont souvent exclus des réunions et ne sont pas pris en compte dans l'élaboration des plans stratégiques. Pour améliorer la relation entre la sécurité et l'informatique, les personnes interrogées suggèrent d'inclure la participation à la sécurité dans tous les projets informatiques dès le début, d'intégrer des professionnels de la sécurité dans les départements fonctionnels informatiques et d'augmenter la formation en cybersécurité du personnel informatique. Pour améliorer la relation entre la sécurité et la gestion de l'entreprise, les professionnels de la cybersécurité recommandent d'encourager la participation de la cybersécurité à la planification des activités, d'améliorer l'identification des risques cybernétiques et de concentrer les ressources de cybersécurité sur les actifs critiques pour l'entreprise. |
The cybersecurity training paradox continues and needs attention. For the fifth straight year, the research reveals a cybersecurity training gap: 91% of respondents agree that cybersecurity professionals must keep up with cybersecurity skills or the organizations they work for are at a disadvantage against cyber-adversaries. Despite this need however, 59% of cybersecurity professionals agree that while they try to keep up with cybersecurity skills development, job requirements often get in the way. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note: This training gap is quietly increasing cyber-risks at your organization. To address this directly, CISOs must push the organization, ensuring that ample training time and resources are built into every member of the cybersecurity staff’s schedule on a continual basis. |
Le paradoxe de la formation en cybersécurité continue et nécessite une attention particulière. Pour la cinquième année consécutive, l'étude révèle une lacune en matière de formation en cybersécurité : 91 % des personnes interrogées s'accordent à dire que les professionnels de la cybersécurité doivent suivre leurs compétences en cybersécurité ou que les organisations pour lesquelles ils travaillent sont désavantagées par rapport aux cyber-adversaires. Malgré ce besoin, 59 % des professionnels de la cybersécurité sont d'accord pour dire que même s'ils essaient de suivre le développement des compétences en cybersécurité, les exigences professionnelles les empêchent souvent. L'ESG et l'AISS appellent cette situation le paradoxe de la formation en cybersécurité. Les RSSI prennent note : Ce manque de formation augmente discrètement les cyberrisques au sein de votre organisation. Pour y remédier directement, les RSSI doivent pousser l'organisation, en veillant à ce qu'un temps de formation et des ressources suffisants soient intégrés à chaque membre du personnel de cybersécurité sur une base continue. |
The cybersecurity skills shortage remains a perpetual problem with no solution in sight. This year, 57% of organizations claim they are impacted by the global cybersecurity skills shortage. While this is a slight improvement from years past, the situation doesn’t appear to be improving. In fact, 44% of survey respondents say that things have gotten worse over the past few years while 51% claim that the situation is about the same as a few years ago. Of those organizations impacted by the cybersecurity skills shortage, the biggest effects include increasing workloads on cybersecurity personnel, new jobs that remain open for weeks or months, high cybersecurity staff burnout and attrition, and an inability to learn or use security technologies to their full potential. |
La pénurie de compétences en cybersécurité demeure un problème perpétuel sans solution en vue. Cette année, 57 % des entreprises affirment être touchées par la pénurie mondiale de compétences en cybersécurité. Bien qu'il s'agisse d'une légère amélioration par rapport aux années passées, la situation ne semble pas s'améliorer. En fait, 44 % des répondants affirment que la situation s'est aggravée au cours des dernières années, tandis que 51 % affirment que la situation est à peu près la même qu'il y a quelques années. Parmi les organisations touchées par la pénurie de compétences en cybersécurité, les effets les plus importants sont l'augmentation de la charge de travail du personnel de cybersécurité, de nouveaux emplois qui restent ouverts pendant des semaines ou des mois, l'épuisement et l'attrition élevés du personnel de cybersécurité, ainsi qu'une incapacité à apprendre ou à utiliser pleinement les technologies de sécurité potentiel. |
Many organizations are making basic mistakes in hiring and recruiting cybersecurity professionals. More than three-quarters (76%) of respondents say it is extremely or somewhat difficult to recruit and hire security professionals. This is certainly related to supply and demand in the cybersecurity professional market, but survey respondents pointed to some organizational causes as well: 38% said their organization doesn’t offer competitive compensation, 29% said their HR department doesn’t understand the skills needed for cybersecurity, and 25% said that job postings at their organization tended to be unrealistic. Alarmingly, 59% of respondents said their organization could be doing more to address the cybersecurity skills shortage. |
De nombreuses organisations commettent des erreurs élémentaires en embauchant et en recrutant des professionnels de la cybersécurité. Plus des trois quarts (76 %) des répondants affirment qu'il est extrêmement ou plutôt difficile de recruter et d'embaucher des professionnels de la sécurité. Cela est certainement lié à l'offre et à la demande sur le marché professionnel de la cybersécurité, mais les personnes interrogées ont également souligné certaines causes organisationnelles : 38 % ont déclaré que leur organisation n'offre pas de rémunération compétitive, 29 % ont déclaré que leur service RH ne comprend pas les compétences nécessaires à la cybersécurité, et 25 % ont déclaré que les offres d'emploi dans leur organisation avaient tendance à être irréalistes. Il est alarmant de constater que 59 % des répondants ont déclaré que leur organisation pourrait faire davantage pour remédier à la pénurie de compétences en cybersécurité. |
Specific cybersecurity experience and skills are in high demand. When asked which types of cybersecurity talent were most difficult to hire, 41% said mid-career professionals (i.e., 4-7 years of experience), and 30% said senior career professionals (i.e., 7+ years of experience). Interestingly, organizations have less trouble finding cybersecurity leaders, probably because they only need a few. Survey respondents were also asked which skill set areas were in the shortest supply. The top three were cloud computing security, security analysis and investigations, and application security. |
L'expérience et les compétences spécifiques en cybersécurité sont très demandées. Lorsqu'on leur a demandé quels types de talents en cybersécurité étaient les plus difficiles à embaucher, 41 % ont répondu à des professionnels en milieu de carrière (c.-à-d. 4 à 7 ans d'expérience) et 30 % à des professionnels de carrière supérieurs (soit plus de 7 ans d'expérience). Il est intéressant de noter que les entreprises ont moins de mal à trouver des leaders en cybersécurité, probablement parce qu'elles n'en ont besoin que de quelques-uns. Les répondants à l'enquête ont également été interrogés sur les domaines de compétences les plus courts. Les trois premiers étaient la sécurité du cloud computing, l'analyse et les enquêtes de sécurité et la sécurité des applications. |
Cybersecurity job solicitation is frequent and increasing. Seventy percent of cybersecurity professionals are solicited by recruiters to consider another job at least once per month. This “seller’s market” is only gaining momentum: 71% of survey respondents claim that the pace of recruitment solicitation has increased over the past few years. |
La sollicitation d'emplois dans le domaine de la cybersécurité est fréquente et croissante. Soixante-dix pour cent des professionnels de la cybersécurité sont sollicités par les recruteurs pour envisager un autre emploi au moins une fois par mois. Ce « marché des vendeurs » ne fait que prendre de l'ampleur : 71 % des personnes interrogées affirment que le rythme des sollicitations de recrutement a augmenté au cours des dernières années. |
Cybersecurity professionals have recommendations for addressing the skills shortage. Respondents were asked what their organizations could do to address the impact of the cybersecurity skills shortage. Their top suggestions were to increase the organization’s commitment to cybersecurity training, increase compensation levels to make them more competitive, and provide extra incentives like paying for certifications or participation in industry events. |
Les professionnels de la cybersécurité ont des recommandations pour remédier à la pénurie de compétences. On a demandé aux répondants ce que leur organisation pouvait faire pour remédier à l'impact de la pénurie de compétences en cybersécurité. Leurs principales suggestions étaient d'accroître l'engagement de l'organisation à l'égard de la formation en cybersécurité, d'augmenter les niveaux de rémunération pour les rendre plus compétitifs et de fournir des incitations supplémentaires telles que le paiement des certifications ou la participation à des événements de l'industrie. |