« Une pénurie de compétence en cyber-sécurité peut générer des dommages directs pour les entreprises, telles que la perte de données d’entreprise ou d’informations personnelles », déplore James A. Lewis, senior vice president and director of the Strategic Technologies Program - CSIS. « Ce problème est global, la majorité des personnes interrogées est en mesure d’associer cette pénurie à des dommages référencés au sein de leur organisation. »

En 2015, 209 000 postes de cyber-sécurité étaient vacants rien qu’aux États-Unis (1). Même si 1 personne sur 4 confirme que son entreprise a perdu des données propriétaires en raison de lacunes en matière de cyber-sécurité, rien n’annonce que cette pénurie puisse se résorber à court terme. Les décideurs IT interrogés ont ainsi estimé qu’environ 15 % des postes en cyber-sécurité au sein de leur entreprise resteront vacants d’ici à 2020. Avec le développement du Cloud, de l’informatique mobile, de l’Internet des objets (IoT), ainsi que de la hausse des cyber-attaques et du cyber-terrorisme dans le monde, le besoin d’effectifs qualifiés dans le domaine de la cyber-sécurité est crucial.

« Le secteur de la sécurité discute abondamment des moyens de contrer la multitude d’actions de hackings et de violation en ligne, mais les secteurs publics et privés ne mesurent pas l’urgence existante de résoudre cette pénurie de personnels compétents en matière de cyber-sécurité », regrette Chris Young, senior vice president and general manager - Intel Security Group. « Pour résoudre cette crise, nous avons besoin de favoriser de nouveaux modèles éducatifs et d’accélérer la disponibilité des offres de formation, basées sur des cas concrets. Nous devons davantage développer l’automatisation afin de permettre aux talents qualifiés de se concentrer sur des missions à plus forte valeur ajoutée. »

La demande de professionnels spécialisés en cyber-sécurité croît plus rapidement que l’offre de profils qualifiés et les compétences très techniques sont les plus recherchées. De fait, les compétences en relation avec la détection des intrusions, le développement de logiciels sécurisés et la réduction des attaques sont aujourd’hui beaucoup plus valorisées en entreprise que les compétences générales telles que la collaboration, le leadership ou une communication efficace.

Les principaux éléments du rapport sur la pénurie de talents dans le domaine de la cyber-sécurité :
• Dépenses allouées à la cyber-sécurité : le volume et la croissance des budgets de cyber-sécurité confirment l’importance que les entreprises et les pouvoirs publics accordent à ce sujet. Conséquence logique, ceux qui dépensent le plus en la matière sont les mieux armés pour faire face à la pénurie de talents, qui pour 71 % des décideurs IT interrogés occasionnent des dommages directs et quantifiables sur les réseaux de sécurité de leur entreprise.
• Éducation et formation : seuls 23 % des répondants déclarent que les programmes éducatifs préparent les étudiants à intégrer le secteur. Le rapport révèle que les méthodes non traditionnelles d’apprentissage par la pratique, à l’image des formations terrain, du gaming et des exercices technologiques et des hackathons, peuvent constituer une réponse plus efficace pour acquérir et développer des compétences en matière de cyber-sécurité. Plus de la moitié des DSI considèrent que la pénurie qui touche le domaine de la cyber-sécurité est pire que le déficit de talents dans d’autres métiers de l’IT, et insistent sur les possibilités à offrir par l’éducation et la formation continue.
• Dynamique employeur : si le salaire reste sans surprise le facteur numéro un, d’autres incitatifs revêtent une importance particulière pour le recrutement et la rétention des meilleurs talents, notamment la formation, les opportunités d’évolution et la réputation du développement informatique de l’employeur. Près de la moitié des personnes ayant répondu citent ainsi le manque de soutien à la formation ou à la qualification comme des motifs courants de fuite des talents.
• Politiques publiques : Plus des trois quarts des personnes interrogées (76 %) déclarent que leurs gouvernements ne dépensent pas suffisamment dans la formation de talents dans le domaine de la cyber-sécurité. Cette pénurie devient une question politique de premier ordre, alors que les exécutifs aux États-Unis, au Royaume-Uni, en Israël et en Australie ont appelé l’année dernière à un soutien accru aux effectifs de cyber-sécurité.

Recommandations prospectives :
• Valorisation des compétences en cyber-sécurité issus de sources d’éducation non traditionnelles ;
• Diversifier le domaine de la cyber-sécurité ;
• Offrir plus d’opportunités de formation externe ;
• Promouvoir les technologies qui peuvent assurer une automatisation intelligente de la sécurité ;
• Collecter les données d’attaque et développer de meilleures métriques pour identifier plus rapidement les menaces.

Pour en savoir plus sur les résultats de l’enquête et découvrir les recommandations d’Intel Security, consultez le rapport dans son intégralité : ‘Hacking the Skills Shortage’.

Méthodologie : Intel a commandité le cabinet d’études Vanson Bourne pour mener l’enquête qui a permis la rédaction de ce rapport. Plus de 800 décisionnaires IT impliqués dans la cyber-sécurité ont été sondés en mai 2016 aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Australie, au Japon, au Mexique et en Israël. Tous étaient issus d’entreprises comptant au moins 500 collaborateurs et œuvrant dans les secteurs public et privé. Les entretiens ont été menés en ligne selon un processus de filtrage multiniveau rigoureux dans l’optique de garantir que seuls les candidats adéquats aient l’opportunité de participer.