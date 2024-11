Commentaires d’Elastic sur le rapport 2024 ISC2 Cybersecurity Workforce Study

novembre 2024 par Suzanne Button et Mandy Andress, respectivement Field CTO EMEA et CISO d’Elastic

Les personnes interrogées estiment que leurs équipes de cybersécurité ne sont pas suffisamment nombreuses ou ne disposent pas de l’éventail de compétences adéquat pour atteindre leurs objectifs.

Les parcours empruntés par les candidats pour entrer sur le marché du travail de la cybersécurité évoluent, tout comme leurs priorités - ils privilégient de plus en plus l’équilibre entre vie professionnelle et vie privée, et les facteurs de motivation varient en fonction de la démographie.

La diversité des parcours peut contribuer à résoudre la pénurie de talents.

Les progrès liés à l’implémentation de l’IA changeront la façon dont les répondants en cybersécurité envisagent leur pénurie de compétences. Les responsables du recrutement donnent la priorité aux compétences transférables et non techniques, comme la résolution de problèmes.

Les professionnels de la cyber sont convaincus que l’IA générative ne remplacera pas leur rôle - deux tiers d’entre eux sont convaincus que leur expertise complétera la technologie.

Alors que beaucoup considèrent l’IA générative comme un moyen de combler la pénurie de talents, 64 % des répondants ont déployés l’IA générative dans d’autres départements, ce qui a entraîné une surcharge de travail pour les professionnels de la cybersécurité, plus de la moitié d’entre eux ayant été confrontés à des problèmes de confidentialité/sécurité des données à la suite de l’implémentation de cette technologie.

65 % déclarent que leur organisation doit mettre en œuvre davantage de réglementations sur l’utilisation sûre de l’IA générative.

A cette occasion, les commentaires de Suzanne Button et Mandy Andress, respectivement Field CTO EMEA et CISO d’Elastic, sur cette enquête mondiale :

Suzanne Button, Field CTO EMEA d’Elastic :

« La sophistication croissante des cybermenaces a dépassé l’offre de professionnels qualifiés, creusant le fossé entre les attaquants et les défenseurs. Cette situation est encore exacerbée par le manque de compétences au sein du vivier existant, ainsi que par la nature déjà exigeante de ces fonctions, ce qui se traduit par des taux de turnover élevés et par l’épuisement professionnel.

Avec des budgets de plus en plus serrés, les responsables de la sécurité sont contraints de faire plus avec moins, ce qui les empêche d’embaucher et de former la prochaine génération de professionnels de la sécurité. L’évolution du paysage des menaces, caractérisée par la montée en puissance des ransomwares et des attaques d’États-nations, exige un plus large éventail de compétences - et une réflexion originale - que le vivier de talents existant et les nouvelles recrues sans expérience n’ont souvent pas. Encourager un plus grand nombre de candidats à postuler à tous les niveaux est une réponse, mais sensibiliser les salariés de manière globale aux enjeux de cybersécurité peut également garantir que la diversité des idées et la résolution des problèmes peuvent provenir d’autres parties de l’organisation.

Les tensions opérationnelles, les projets retardés, la vulnérabilité accrue aux cyberattaques due à l’insuffisance des ressources et l’augmentation des coûts ne sont que quelques-unes des conséquences directes de cette pénurie de talents. De toute évidence, il s’agit d’un problème qui nécessite un effort concerté et immédiat de la part des organisations pour construire une culture de résilience en matière de sécurité ».

Mandy Andress, CISO d’Elastic :

« Les organisations doivent adopter des stratégies innovantes pour recruter et fidéliser leurs équipes de sécurité afin de relever les défis immédiats et à long terme. Pour ce faire, il est essentiel d’affiner les processus de recrutement et de mettre l’accent sur la formation afin de constituer une main-d’œuvre qualifiée et d’attirer les meilleurs talents. En outre, la cybersécurité devrait être un effort collectif, favorisant une culture de la sécurité et de la sensibilisation aux risques dans l’ensemble de l’organisation, quel que soit le rôle. Cette approche peut contribuer à minimiser les erreurs humaines et à permettre aux équipes d’identifier les domaines qui manquent de ressources. En démocratisant les compétences, nous pouvons nous attendre à la montée en puissance de rôles hybrides qui combinent l’expertise en informatique, en développement et en cybersécurité.

Il est également essentiel d’investir dans les équipes existantes. Les salariés accordent de plus en plus d’importance à des pratiques de travail flexibles et à des plans de carrière clairs. Les programmes éducatifs étant en retard sur les menaces et les technologies émergentes, il y a un décalage entre ce qui est enseigné et ce qui est nécessaire pour évoluer sur des postes en cybersécurité, ce qui place la responsabilité sur les employeurs pour préparer l’avenir de leur main-d’œuvre. L’exploitation d’outils tels que l’IA peut également contribuer à la rationalisation des tâches routinières, libérant ainsi les équipes pour qu’elles se concentrent sur des tâches plus complexes et consacrent du temps à l’amélioration des compétences. Cette approche permet de lutter contre le turnover et de renforcer la résilience. »