Malgré les récents licenciements de haut niveau dans l’industrie technologique, la demande de professionnels de la cybersécurité reste élevée mais non satisfaite. Avec autant de travailleurs de l’industrie technologique à la recherche de leur prochain emploi, pourquoi ces travailleurs déplacés ne sont-ils pas recrutés ?

La réponse pourrait être trouvée en faisant mieux correspondre les candidats les moins susceptibles de se recycler en tant que techniciens en cybersécurité. La demande de cybertravailleurs a augmenté de 25 % en 2022, et de nombreux commentaires existent sur la nécessité d’embaucher des talents en cybersécurité issus d’horizons non traditionnels, comme les barmans ou les enseignants.

Selon les données publiées fin janvier par le site d’analyse de la main-d’œuvre en cybersécurité développé en partenariat par l’Initiative nationale pour l’éducation à la cybersécurité du NIST, CompTIA et Lightcast, le nombre total de travailleurs en cybersécurité employés est resté relativement stable en 2022 à environ 1,1 million. Le nombre d’offres d’emploi en ligne a légèrement diminué, passant de 769 736 à 755 743 au cours des 12 mois se terminant en décembre 2022.

« Malgré les inquiétudes concernant un ralentissement de l’économie, la demande de travailleurs en cybersécurité reste historiquement élevée. Les entreprises savent que la cybercriminalité ne s’arrêtera pas en cas de ralentissement du marché, de sorte que les employeurs ne peuvent pas se permettre de suspendre leurs embauches dans le domaine de la cybersécurité », a déclaré Will Markow, vice-président de Lightcast, Applied Research-Talent.

Selon les données de Lightcast, chacun des neuf premiers mois de 2022 a établi des records pour la demande mensuelle de cybersécurité la plus élevée depuis 2012, mais s’est refroidi en novembre et décembre. Un indicateur clé est le rapport entre les travailleurs de la cybersécurité actuellement employés et les nouvelles ouvertures, ce qui indique l’importance de la pénurie de travailleurs.

Le ratio offre-demande est actuellement de 68 travailleurs pour 100 postes vacants, légèrement supérieur au ratio de la période précédente de 65 travailleurs pour 100 postes vacants. Sur la base de ces chiffres, près de 530 000 travailleurs de la cybersécurité supplémentaires aux États-Unis sont nécessaires pour combler les lacunes actuelles en matière d’approvisionnement.

Certains chercheurs de l’industrie suggèrent que l’embauche de talents en cybersécurité issus d’horizons non traditionnels, comme des barmans ou des enseignants, est une solution idéale en dehors des sentiers battus.

Idée irréaliste compte tenu des obstacles technologiques

D’autres cyber-pros soutiennent qu’une telle solution ne correspond pas à la réalité de l’industrie. Principalement, les barrières à l’entrée restent trop élevées, de nombreuses organisations utilisant encore des méthodes d’embauche désuètes, telles que l’exigence de certifications impossibles à obtenir sans expérience de travail.

Lenny Zeltser, CISO de la société de gestion d’actifs en cybersécurité Axonius, et instructeur de la société de formation, de certification et de recherche en cybersécurité SANS Institute, trouve également surprenant que personne ne semble parler de la difficulté de gravir les échelons une fois que vous avez décroché un cyber position en premier lieu.

Il existe peu ou pas d’indications sur la façon de passer du statut de cyber-praticien à celui de responsable de la sécurité de l’information ou de CISO. De nombreuses organisations manquent de normes et de structure sur la façon de payer les cyber-praticiens, et de nombreux employés savent que la seule façon de progresser est de passer à d’autres entreprises, a-t-il expliqué.

Les gens commencent simplement la conversation au mauvais endroit, a proposé Zeltser. Les entreprises doivent d’abord combler ce qu’il appelle le «déficit de carrières en cybersécurité» avant que la cyber-industrie ne puisse commencer à combler le déficit de compétences.


L’apprentissage des compétences en sécurité informatique n’est pas le problème principal, a-t-il déclaré. Il existe de nombreuses possibilités pour les personnes motivées d’acquérir les compétences nécessaires. Le problème, ce sont les attentes concernant les compétences requises.

« Je crois qu’il existe de nombreuses possibilités pour les gens d’acquérir des compétences en matière de sécurité. Cela m’amène donc à considérer qu’il y a peut-être quelque chose de plus à cela », a déclaré Zeltser à TechNewsWorld.

« Peut-être que nous avons des attentes irréalistes pour qui nous recherchons. »

Oubliez les candidats idéaux

Peut-être que la position typique de la licorne où les entreprises veulent un professionnel de la sécurité capable de tout faire est le coupable, a-t-il noté. C’est un domaine tellement spécialisé qui contient de nombreux sous-ensembles spécialisés, et il est difficile d’être un expert dans tout ce qui concerne la cybersécurité.

« Nous ne sommes tout simplement pas suffisamment ouverts aux personnes qui entrent dans le domaine avec des antécédents non techniques inhabituels », a déclaré Zeltser.

Il a donné un exemple de ses rôles précédents au sein de l’industrie. Les responsables du recrutement avec peu de variation veulent que leurs embauches fassent X, Y et Z. Ne pas voir ces capacités sur un CV place les candidats dans la catégorie des lacunes en matière de compétences.

Quelle est la solution? Prenez des cyber-candidats avec certaines des compétences et formez-les pour le reste.

Zeltser se souvient avoir cherché à recruter quelques experts en sécurité qui fourniraient un support client. L’entreprise avait besoin de personnel de sécurité débutant, mais n’a pas pu les trouver.

Ce que l’entreprise a fini par faire avec beaucoup de succès, c’est de recruter des barmans férus de technologie qui s’intéressaient aux ordinateurs et pouvaient configurer leur propre Wi-Fi. Mais ils ne faisaient cela qu’à la maison, a-t-il expliqué.

« Nous avons constaté que nous pouvions les former aux bonnes compétences en matière de sécurité au bureau. Mais ce à quoi nous n’avions pas besoin de les former et ce qui est très difficile à leur apprendre, c’est comment effectuer plusieurs tâches à la fois et comment penser sur leurs pieds et interagir avec les humains », a déclaré Zeltser. Il s’avère que les barmans sont vraiment doués pour ça.


Besoin d’un résultat final positif

Zeltser a trouvé de nombreuses options où il pouvait être plus ouvert, et cela est devenu une nécessité. Être plus ouvert signifie changer votre état d’esprit pour accepter des personnes issues d’horizons non techniques et non conventionnels », a-t-il proposé.

«Je veux que nous, dans l’industrie, arrêtions de dire aux gens que s’ils entrent dans le domaine en tant que professionnel de la sécurité, ils devraient travailler vers le summum de la carrière en cybersécurité, qui est le rôle d’un RSSI. Le truc, c’est qu’il n’y a pas assez de ces rôles », a-t-il déclaré.

Selon Zeltser, l’industrie n’a pas besoin d’autant de responsables de la sécurité que d’autres types de professionnels de la sécurité, ce qui entraîne des risques d’échec.

«Nous leur disons de travailler dans ce sens, et c’est ainsi que nous définissons le succès. Mais au lieu de cela, nous pouvons parler d’autres moyens par lesquels les gens peuvent réussir, car tout le monde ne devrait pas être un cadre, tout le monde ne devrait pas être un gestionnaire de personnel », a-t-il ajouté.

Le fossé des compétences rencontre le fossé de la sécurité

Même avec la pénurie de travailleurs qualifiés en cybersécurité, de nombreuses organisations sont sur la bonne voie pour sécuriser et réduire les cyberrisques pour leur entreprise. Selon Joseph Carson, scientifique en chef de la sécurité et CISO consultatif chez Delinea, le défi est que de grandes lacunes de sécurité existent toujours pour que les attaquants en abusent.

« L’écart de sécurité augmente non seulement entre l’entreprise et les attaquants, mais aussi l’écart de sécurité entre les responsables informatiques et les dirigeants d’entreprise », a-t-il déclaré à TechNewsWorld.

Carson a convenu que certaines industries montrent une amélioration. Mais le problème existe toujours.

« Jusqu’à ce que nous résolvions le défi sur la façon de communiquer l’importance de la cybersécurité au conseil d’administration et à l’entreprise, les responsables informatiques continueront de lutter pour obtenir les ressources et le budget nécessaires pour combler le fossé de sécurité », a-t-il averti.

Un meilleur cheminement de carrière est nécessaire

Les organisations doivent continuer à élargir leur bassin de recrutement, tenir compte des biais qui peuvent actuellement exister dans le cyber-recrutement et offrir une formation approfondie via des apprentissages, des stages et une formation en cours d’emploi. Cela aide à créer la prochaine génération de cyber-talents, a proposé Dave Gerry, PDG de la plateforme de cybersécurité participative Bugcrowd.

« En créant des opportunités de croissance de carrière et en se ralliant à la mission d’aider nos clients, leurs clients et la communauté numérique au sens large à se défendre contre les cyberattaques, les employés sentent qu’ils ont l’opportunité de s’améliorer et d’améliorer la communauté au sens large », a-t-il déclaré à TechNewsWorld.

Gerry a ajouté que pendant des années, nous avons été amenés à croire qu’il existe un écart important entre le nombre d’emplois ouverts et les candidats qualifiés pour combler ces emplois. Bien que cela soit partiellement vrai, cela ne fournit pas une vue précise de l’état actuel du marché.

« Les employeurs doivent adopter une approche plus active pour recruter dans des milieux non traditionnels, ce qui, à son tour, élargit considérablement le bassin de candidats, passant uniquement de ceux qui ont des diplômes officiels à des individus qui, avec la bonne formation, ont un potentiel incroyablement élevé », a-t-il déclaré. a dit.

Peut-être une meilleure alternative

La récente publication de la Stratégie nationale de cybersécurité suscitera plus de demande que d’offre. Cela pourrait ralentir les processus à grande échelle, a prédit Guillaume Ross, CISO adjoint de la société de gestion des cyberactifs JupiterOne.

Il sera primordial de prioriser et de réduire au maximum la surface d’attaque. De plus, les mesures de sécurité doivent garantir que les développeurs, les informaticiens et même les responsables de l’entreprise/des processus intègrent la sécurité dans leur routine de travail quotidienne.

« Améliorer les compétences en matière de sécurité d’un million de développeurs et d’informaticiens aurait un bien meilleur impact que de former un million de nouveaux » agents de sécurité « à partir de zéro », a répliqué Ross à TechNewsWorld.

Solution universelle au sens large

Les pénuries de compétences et de cybersécurité ne sont pas uniquement un problème de l’industrie américaine. Une énorme pénurie d’experts qualifiés en cybersécurité est répandue dans le monde entier, a noté Ravi Pattabhi, vice-président de la sécurité du cloud chez ColorTokens, une entreprise autonome de solutions de cybersécurité à confiance zéro.

Certaines universités ont commencé à enseigner aux étudiants certaines compétences de base en cybersécurité, telles que la gestion des vulnérabilités et le renforcement de la sécurité des systèmes. Pendant ce temps, la cybersécurité est en pleine mutation.

« L’industrie intègre de plus en plus la cybersécurité dans la phase de conception et l’intègre dans le développement de produits, l’intégration de code et le déploiement. Cela signifie que les développeurs de logiciels ont probablement également besoin de compétences de base en cybersécurité, y compris le cadre d’attaque Mitre et l’utilisation d’outils de test de stylet », a déclaré Pattabhi à TechNewsWorld.

Olivier
Olivier

Je suis Olivier, rédacteur technophile chez Digital Studio Web, passionné par le décodage des dernières innovations tech pour nos lecteurs. Avec une expertise en web et un œil sur le futur, je m'efforce de livrer des analyses précises et des nouveautés excitantes. Ma mission : partager les tendances qui redéfinissent notre quotidien numérique.

A lire également