Rawpixel - Fotolia

Le déficit de compétences en sécurité continue de pénaliser les entreprises

L’édition 2018 du rapport de l’Isaca sur l’état de la cybersécurité distribue bonnes et mauvaises nouvelles en matière de compétences disponibles. Il souligne également le déséquilibre de genres dans la profession.

Malgré l'attention accordée au déficit de compétences en cybersécurité au cours des dernières années, le problème semble s’aggraver. C’est du moins ce qui ressort des données produites par l’Isaca dans le cadre de l’édition 2018 de son rapport sur l’état de la cybersécurité.

Présenté à l’occasion de RSA Conference, qui se déroule actuellement à San Francisco, ce rapport montre que 59 % des entreprises ont des postes vacants en sécurité, alors que 54 % estiment qu'il leur faut en moyenne trois mois ou plus pour les pourvoir. Le rapport « montre non seulement une expansion du déficit de compétences signalé précédemment, mais commence aussi à tracer ses contours », estime l'Isaca. « Les ressources techniques, en particulier les contributeurs techniques individuels, sont les plus demandées et cette demande devrait augmenter à court et moyen terme."

Le rapport de l'Isaca, basé sur le sondage de plus de 2 300 titulaires de certifications professionnelles de l’organisme, contient toutefois des données positives pour les entreprises. Par exemple, dans l’édition 2017 du rapport, 37 % des répondants avaient déclaré que moins du quart des candidats étudiés étaient suffisamment qualifiés. Aujourd’hui, ce chiffre a reculé de 7 points, à 30 %.

Mais en raison de la demande croissante, l’Isaca craint que l'écart se creuse. Ainsi, 64 % des répondants à son étude s'attendent à ce que les budgets de sécurité de leurs organisations soient plus élevés cette année, contre seulement 50 % des répondants l'année dernière.

« Les budgets de sécurité augmentent », indiquent les auteurs qui estiment ainsi que « le problème de personnel est d'ordre logistique plutôt que financier : les entreprises ont un budget pour embaucher, mais sont confrontées au défi de recruter des professionnels qualifiés car une grande partie de la main-d'œuvre disponible manque des compétences recherchées ».

Rob Clyde, vice-président de l'Isaca et président exécutif de White Cloud Security, relève que, malgré les efforts consentis ces dernières années par les entreprises pour combler le déficit de compétences en matière de cybersécurité, il reste encore beaucoup à faire : « nous ne réduisons pas l'écart, et la situation s'aggrave. C'est un marché de l’emploi extrêmement tendu, où la demande dépasse de loin l'offre ».

Pour Rob Clyde, le manque de candidates contribue fortement à cette situation : il n'y a pas assez de femmes qui entrent dans le domaine de la sécurité informatique, et il y a trop de postes ouverts pour qu’ils puissent être pourvus uniquement par des candidats masculins.

« Jetez un coup d'œil à n'importe quelle conférence sur la cybersécurité comme RSA Conference, et voyez combien peu de femmes sont là », relève-t-il : « vous observerez l’une des raisons du déficit ».

Déséquilibre de genre

Le rapport de l'Isaca sur l'état de la cybersécurité souligne au passage les différences entre les hommes et les femmes interrogés. Par exemple, 82 % des hommes interrogés estiment que les femmes disposent les mêmes possibilités d'avancement de carrière que les hommes, dans le domaine de la sécurité informatique. Mais seulement 51 % des femmes interrogées partagent cet avis.

Mais les chiffres changent de façon significative lorsque la question est posée à des personnes dont les entreprises ont mis en place des programmes de diversité. Là, 87 % des hommes et 77 % des femmes interrogés pensent que les femmes ont les mêmes opportunités d'avancement professionnel que les hommes.

Un peu plus de la moitié des répondants ont indiqué que leurs organisations disposent de programmes de diversité conçus pour améliorer l'égalité des genres parmi les employés. L'Isaca indique que c’est la première fois qu'elle pose des questions sur ces sujets, ajoutant que les données suggèrent que « l'inégalité entre les sexes semble se traduire directement par la perte de personnel féminin talentueux ».

Rob Clyde juge dès lors que « les programmes de diversité doivent constituer une partie de la réponse à l'écart de disparité entre les hommes et femmes », ajoutant que la résolution de la question exigera de nombreux efforts, pas seulement un.

En plus de lancer des programmes de diversité, l'Isaca recommande aux entreprises d'investir dans l'éducation et le renforcement des compétences des employés actuels : « si, comme le suggèrent les données, le déficit des compétences s’étend, ces investissements peuvent être largement récompensés car le talent devient plus difficile à trouver et à conserver ».

Rob Clyde conseille également aux organisations de supprimer les restrictions d'embauche et les exigences concernant les formations : « avez-vous besoin d'un diplôme obtenu en quatre ans pour être un professionnel de la sécurité de l’information ? La réponse honnête est non. Las, souvent ces candidatures ne passent souvent pas le filtre des ressources humaines. Mais cela doit changer, car nous ne pouvons pas nous permettre de perdre des candidats techniquement qualifiés qui n'ont peut-être pas de diplôme ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close