C’est dans ce cadre que (ISC)² (anciennement la Global Information Security Workforce Study), une ONG de professionnels de la sécurité, s’est intéressée à la dynamique de cet écart, y compris son impact sur les entreprises et les particuliers, est complexe. La cybersécurité touche presque tout le monde dans une organisation. Selon l’ONG, des employés des services juridiques au marketing, des finances aux opérations, sont de plus en plus conscients de la façon dont les données transitent dans l’organisation et de ce qu’il faut pour assurer leur sécurité. Entre-temps, les professionnels de l’informatique sont souvent responsables de la sécurisation des actifs critiques de leur entreprise, mais n’ont pas de titre officiel de sécurité de l’information. C’est la raison pour laquelle (ISC)2 aborde maintenant plus largement le domaine de la cybersécurité et la manière de relever ses défis.
Dans le cadre de l’étude sur la cybersécurité (ISC)² , l’ONG est allée à la rencontre des professionnels de la cybersécurité ainsi que des professionnels de l’informatique qui consacrent au moins 25% de leur temps à des activités de cybersécurité. Elle affirme avoir exploré les nombreuses facettes de la pénurie de compétences, afin de mieux comprendre le problème et de répertorier les solutions possibles. L’enquête, menée en Amérique du Nord, en Amérique latine, en Asie-Pacifique (APAC) et en Europe, a permis de recueillir les commentaires de près de 1 500 personnes.
La pénurie mondiale, à combien peut-elle se chiffrer ?
Selon (ISC)2, il manquerait à l’industrie près de trois millions de professionnels de la cybersécurité dans le monde. L’essentiel de cette demande viendrait de l’APAC, qui connaît la plus grande pénurie avec 2,15 millions de professionnels manquant à l’industrie. Le rapport explique cela en partie grâce à la croissance de ses économies et à la nouvelle législation en matière de cybersécurité et de protection des données dans l’ensemble de la région.
Contrairement aux modèles de calcul des écarts existants qui soustraient simplement l'offre à la demande, ce calcul prend en compte d'autres facteurs critiques, notamment le pourcentage d'organisations avec des postes ouverts et la croissance estimée d'entreprises de tailles différentes. Le calcul de la demande comprend les débouchés actuellement disponibles, ainsi qu'une estimation des besoins futurs en personnel. Et le calcul de l'offre inclut des estimations du nombre d'entrées académiques et non académiques sur le terrain, ainsi que des estimations des professionnels existants pivotant vers les spécialités de cybersécurité.
Cette approche plus globale de la mesure de l'écart produit une représentation plus réaliste des défis et des opportunités en matière de sécurité auxquels les entreprises et les professionnels de la cybersécurité sont confrontés dans le monde entier.
L'impact réel de la pénurie de compétences
Une pénurie de près de trois millions: ce chiffre peut sembler abstrait, mais il a un impact réel sur les entreprises et les responsables de la cybersécurité. Selon l'enquête, 63% des personnes interrogées ont déclaré que leur entreprise manquait de personnel informatique dédié à la cybersécurité. Et près de 60% affirment que leur entreprise est exposée à un risque modéré ou extrême d'attaque en matière de cybersécurité en raison de cette pénurie.
Bien qu'un nombre important d'entreprises envisagent de recruter davantage de personnel chargé de la cybersécurité au cours des 12 prochains mois, presque le même pourcentage ne s'attend à aucun changement dans les effectifs, voire à une réduction.
Le rôle de l’entreprise / l’organisation dans la cyber-résilience
En aidant les personnes à se concentrer sur la cybersécurité, les organisations peuvent renforcer la cyber-résilience dans toutes leurs activités. Naturellement, les budgets de sécurité jouent un rôle dans la préparation et la dotation en personnel en matière de cybersécurité. L'enquête (ISC) ² a révélé que la cybersécurité est une priorité budgétaire pour les entreprises, mais les professionnels de la cybersécurité affirment systématiquement qu'il ne s'agit pas d'une priorité suffisamment élevée.
Cependant, plus de la moitié des entreprises représentées par la recherche s'attendent à augmenter leurs budgets de cybersécurité au cours des 12 prochains mois. Une forte majorité de répondants, 70%, déclarent que le nouveau montant sera suffisant.
Les qualités les plus importantes pour décrocher un emploi
Lorsqu'elles consacrent ces budgets à l'embauche en cybersécurité, les entreprises recherchent un large éventail de qualifications. Une expérience de travail pertinente, une connaissance des concepts avancés de cybersécurité et des certifications en cybersécurité sont les trois qui reviennent le plus souvent. Cependant, il peut être surprenant que les diplômes de premier cycle et de cycles supérieurs liés à la cybersécurité importent le moins aux responsables de l’embauche comme le montre les résultats ci-dessous.
À mesure que les professionnels acquièrent une expérience de travail en cybersécurité sur le tas, les organisations peuvent contribuer à réduire l'écart en offrant davantage d'opportunités de formation et en se concentrant sur les types de formation les plus utiles pour ceux qui travaillent déjà dans le domaine de la cybersécurité.
« Cette recherche est essentielle pour permettre de mieux comprendre qui constitue le plus grand bassin de travailleurs en cybersécurité et nous permet de mieux adapter nos programmes de développement professionnel aux hommes et aux femmes qui sécurisent des organisations jour après jour », a déclaré le PDG de l’ONG David Shearer. « Nous partagerons ces informations avec nos partenaires des secteurs public et privé afin de contribuer à la mise en place des programmes nécessaires à l'avancement de la profession de cybersécurité. En élargissant notre vision de ces ressources humaines pour inclure les personnes assumant des responsabilités collatérales en matière de cybersécurité au sein des équipes informatiques et TIC, nous avons découvert que les professionnels font toujours face à des défis familiers, mais nous avons également constaté des différences frappantes par rapport aux recherches précédentes, notamment des ressources humaines plus jeunes et une plus grande représentation des femmes ».
Pour certain, la cybersécurité est un choix de carrière enrichissant ; 68% des personnes interrogées ont déclaré être très ou assez satisfaites de leur emploi actuel. Ce secteur attire également une population plus large, les femmes représentant 24% de l’ensemble de la population active en cybersécurité (contre 11% dans les études précédentes), tandis que 35% appartiennent à la génération Y (contre moins de 20% dans les études précédentes).
Les principaux défis à relever pour poursuivre une carrière en cybersécurité ont été répertoriés comme suit :
- des opportunités d’avancement peu claires pour les rôles en cybersécurité (34 %) ;
- un manque de connaissances de la part de l’entreprise des compétences en cybersécurité (32%) ;
- un coût élevé des certifications en cybersécurité (28%) ;
- des frais élevés de scolarité pour se préparer à faire carrière (28%) ;
- pas suffisamment d’expérience professionnelle dans des postes relatifs à la cybersécurité.
Source : étude en PJ (au format PDF)
Et vous ?
Quels sont, selon-vous, les meilleurs cursus scolaires pour entrer pleinement dans une carrière en cybersécurité ?
Quelles expériences professionnelles peuvent être pertinentes pour évoluer dans ce domaine ?
Qu'en est-il des compétences que doivent avoir les aspirants ?
Voir aussi :
Le Royaume-Uni pratique des cyberattaques qui pourraient couper l'électricité à Moscou, pour réprimer la Russie sans recourir à une attaque nucléaire
Australie : le projet de loi visant à contraindre les télécoms à installer des spyware sur mobile, pourrait "nuire gravement" à la cybersécurité
11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité
Cybersécurité : 87 % des attaques ciblées sont évitées, mais leur nombre a doublé en 2018, d'après une étude d'Accenture sur les grandes entreprises
L'Allemagne annonce une agence pour encourager les recherches sur la cybersécurité, afin d'être indépendante vis-à-vis des technologies américaines