Cela fait plus de dix ans que l’on parle du déficit de compétences en matière de cybersécurité, mais une nouvelle étude de l’Information Systems Security Association (ISSA) et du cabinet d’analyse indépendant Enterprise Strategy Group (ESG) révèle qu’il n’est pas près de disparaître.
La pénurie a touché 70 % des organisations, avec pour conséquences une augmentation de la charge de travail, des postes vacants non pourvus et une incapacité à apprendre ou à utiliser les technologies de cybersécurité à leur plein potentiel.
Parmi les professionnels de la cybersécurité interrogés, 68 % déclarent ne pas avoir de plan de carrière bien défini. À la question de savoir ce qui est le plus important pour le développement de leur carrière, 52 % ont choisi l’expérience pratique, tandis que 44 % affirment que l’expérience pratique et les certifications sont tout aussi importantes.
« Comme ce rapport et les précédents l’indiquent clairement, les principaux acteurs n’envisagent pas la profession de manière stratégique », déclare Jon Oltsik, analyste principal senior et membre du GNE. « Bien que nous fassions des progrès fragmentaires, les mêmes problèmes se présentent année après année, notamment une pénurie de compétences, des employés sous-formés, ainsi que le stress et la tension causés par une carrière dans le domaine de la cybersécurité ». Ces tendances inquiétantes devraient préoccuper les administrateurs et les dirigeants d’entreprise, en particulier à la lumière des résultats alarmants de cette année, selon lesquels 67 % des personnes interrogées pensent que les cyber-adversaires ont un grand avantage sur les cyber-défenseurs. »
Le temps nécessaire pour acquérir des compétences suffisantes en matière de cybersécurité est un facteur important : 39 % des personnes interrogées estiment qu’il faut entre trois et cinq ans pour acquérir de réelles compétences en matière de cybersécurité, 22 % entre deux et trois ans et 18 % plus de cinq ans. Pour les employeurs, cela signifie que les professionnels de la cybersécurité débutants doivent être considérés comme des investissements à long terme, et non comme des solutions immédiates aux problèmes.
Les organisations devraient fournir un peu plus de formation en cybersécurité selon 36 % des répondants, tandis que 29 % pensent que leur organisation devrait fournir beaucoup plus de formation.
« Le manque de cybersécurité ne peut pas être comblé en remplissant simplement le pipeline de nouvelles personnes. Ce qu’il faut, c’est une approche globale, qui commence par l’éducation du public, une planification et un développement de carrière complets, ainsi qu’une cartographie des carrières, le tout avec le soutien et l’intégration de l’entreprise », déclare Candy Alexander, présidente du conseil d’administration de l’ISSA International.
Le rapport complet est disponible sur le site de l’ISSA.