Dans les médias spécialisés en affaires et en technologie, nous entendons souvent parler de centaines de milliers de postes en cybersécurité et en sécurité des TI qui demeurent vacants. D’ici 2022, on estime que le nombre de postes non pourvus dans ces domaines s’élèvera à plus de 1,8 million.1
Par conséquent, dans tous les secteurs d’activité, on constate un nombre toujours croissant d’entreprises et d’organismes gouvernementaux se retrouvant victimes de brèches de cybersécurité et de logiciels de rançon. Il ne fait aucun doute que l’offre en matière de professionnels compétents est limitée, malgré une forte demande qui ne montre aucun signe de ralentissement.
Faire concurrence aux nouveaux secteurs
Pour ajouter à la complexité, les postes en sécurité des TI ne sont plus seulement offerts par les entreprises technologiques. En effet, les organismes d’application de la loi, les détaillants et autres types d’organisations puisent tous dans le même bassin restreint de ressources. Il y a environ un an, lors d’une cyberconférence à laquelle participaient des représentants d’État, le dirigeant d’un organisme d’application de la loi m’a expliqué que la nature des crimes avait changé radicalement au cours de la dernière décennie. À l’heure actuelle, plus de la moitié de ses employés participent au suivi d’incidents de cybersécurité, ce qui modifie fondamentalement les compétences requises pour accomplir leurs tâches.
Assurer le perfectionnement et la fidélisation des employés
En 2017, la National Governors Association a publié A Governor’s Guide to Cybersecurity*, un guide sur la cybersécurité s’adressant aux gouverneurs. Ce document énonce que l’un des principaux défis avec lesquels doivent composer les gouverneurs consiste à assurer la cybersécurité de leurs systèmes d’État. L’embauche de nouveaux employés, la formation et la rééducation professionnelle des employés actuels, et l’impartition des services de cybersécurité constituent trois façons d’y parvenir.
Mais, dans un marché où les experts en cybersécurité se font rares, ces tâches ne sont pas aussi simples qu’on pourrait le croire.
Certaines entreprises décident d’offrir une formation en cybersécurité à leurs professionnels les plus compétents, mais il arrive que ceux-ci les quittent pour occuper un poste mieux rémunéré. Cela n’a rien de surprenant puisque les experts en cybersécurité travaillant dans le secteur privé peuvent doubler leur salaire en abandonnant un poste pour un autre.
À juste titre, de nombreuses organisations choisissent de faire appel à des sous-traitants pour répondre à leurs besoins. Par contre, certaines ignorent le fait que le marché actuel favorise les fournisseurs et croient qu’elles seront en mesure d’impartir ces services à des ressources moins coûteuses. Par exemple, j’ai eu vent d’un organisme gouvernemental qui avait confié la sécurité de ses TI au plus bas soumissionnaire, mais qui a vite réalisé que le fournisseur était incapable d’embaucher les professionnels appropriés en offrant des tarifs aussi bas.
Bien que certaines universités se soient engagées à créer des curriculums et des diplômes axés sur la cybersécurité afin d’accroître l’offre, il reste beaucoup de travail à faire pour augmenter le nombre de professionnels sur le marché du travail. Dans les domaines où il existe des programmes de certification, nombreux sont les nouveaux diplômés qui choisissent des postes plus attrayants dans les domaines des jeux vidéo ou de la robotique.
Jusqu’à ce que l’offre rejoigne la demande, ces défis continueront de s’intensifier pour les secteurs privé et public.
Que peuvent donc faire les organisations afin de combler les lacunes en matière de compétences et de professionnels en cybersécurité?
- Reconnaître et accepter le fait que le déséquilibre entre l’offre et la demande est réel – Autrement dit, les organisations devront payer un prix plus élevé pour les services de ces professionnels jusqu’à ce que les ressources augmentent.
- Recruter et former à l’interne, et offrir une rémunération appropriée – Repérez les employés de votre organisation qui possèdent un bon esprit d’analyse et une passion pour la cybersécurité, et formez-les dans les domaines pertinents. Une fois formés, il se peut que certains d’entre eux quittent l’organisation, mais vous pourrez limiter les départs en leur offrant un salaire concurrentiel dès qu’ils font preuve d’une performance satisfaisante dans leur nouveau rôle. Soyez également conscients du fait que certains employés peuvent être convaincus de conserver leur poste au sein de l’organisation en raison des avantages sociaux qui leur sont offerts, tels que les vacances, l’assurance maladie, les formations ou le mentorat.
- Tirer parti de l’automatisation simple – Accroître la maturité de votre organisation en mettant en place des outils d’automatisation simple peut vous aider à réduire les exigences auxquelles sont soumis les employés à temps plein responsables de la sécurité. Il existe actuellement des outils automatisés pouvant soutenir les professionnels de la sécurité des TI pour la réalisation de différentes activités de collecte de données, y compris les données concernant un incident de sécurité.
- Soutenir la création de curriculums en cybersécurité – Le secteur privé devrait collaborer avec les collèges et universités afin de stimuler le recrutement et de les aider à établir de nouveaux curriculums et programmes de certification. Les programmes de formation professionnelle au niveau secondaire recèlent également une occasion pour les étudiants d’apprendre directement de professionnels en cybersécurité et de travailler à leurs côtés. Les entreprises pourraient parrainer les stages d’observation ou former des partenariats avec les universités locales en vue d’attirer les étudiants potentiels en leur garantissant des stages, voire des emplois. Il s’agit d’activités très importantes, puisque même si l’offre est considérablement inférieure à la demande, certaines entreprises hésitent à embaucher de nouveaux diplômés sans expérience pratique.
Les organisations peuvent également contribuer à la réduction des incidents de cybersécurité en mettant en place une culture à l’affût des cybermenaces. Puisque les intrusions sont souvent causées par un employé qui ouvre une pièce jointe d’origine inconnue ou suspecte, la posture de cybersécurité s’améliore dès que les employés sont sensibilisés. Pour créer une culture à l’affût des cybermenaces, l’ensemble de l’organisation doit être consciente que la cybersécurité est la responsabilité de tous. Consultez mon récent billet de blogue à ce sujet.
La technologie est de plus en plus intégrée à nos vies, et ces connexions engendrent des cyberrisques nouveaux ou différents. À mesure que les organisations investissent dans les solutions numériques afin de répondre aux exigences des consommateurs et des citoyens, les secteurs privé et public doivent également investir dans l’amélioration des mesures de cyberprotection. Cet investissement doit notamment soutenir la formation de professionnels en cybersécurité pour mettre fin à la pénurie.
1(ISC)², Global Information Security Workforce Study (GISWS)