La pnurie de main-d’uvre secouant le secteur de la cyberscurit persiste. De nouveaux rapports sur le sujet indiquent que les entreprises et les gouvernements continuent rechercher dsesprment des professionnels qualifis pour lutter contre la monte de la cybercriminalit. Selon un rapport, le nombre de professionnels de la cyberscurit dans le monde s’levait 4,7 millions de personnes en 2022, mais 3,4 millions de postes restent encore pourvoir. Le besoin de nouveaux talents qualifis est d’autant plus pressant pour les organisations, car elles se plaignent du fait qu’une partie importante de leurs employs actuels en cyberscurit sont sous-qualifis.
Pnurie de talents en cyberscurit : le nombre de postes pouvoir en hausse
Les organisations publiques comme prives sont aujourd’hui confrontes une hausse sans prcdent des violations de donnes, consquence directe du manque de professionnels qualifis pouvant assurer la scurit des donnes. Mais quelles sont les raisons l’origine de cette pnurie ? Selon les experts, les pratiques hrites du pass, les budgets serrs, l’troitesse d’esprit, le manque de diversit et le fait de considrer la cyberscurit comme un pis-aller sont autant de facteurs qui contribuent au problme. D’autres experts estiment que les entreprises ignorent quelle approche adopter en matire de cyberscurit, ouvrant ainsi la porte aux violations.
C’est le march lui-mme qui est en cause, les entreprises tant dconnectes et irralistes , explique Jeremy Ventura, directeur de la stratgie de scurit et RSSI (responsable de la scurit des systmes d’information) de terrain pour la socit de protection automatise contre les menaces ThreatX. La pnurie de talents dans la cyberscurit se fait davantage sentir dans des pays tels que l’Inde, o la numrisation est rapide. Mais mme aux tats-Unis, seuls 69 % des postes dans le domaine de la cyberscurit sont pourvus. Ces statistiques proviennent de Cyberseek, un site Web qui fournit des donnes sur le march de l’emploi dans ce domaine.
Le foss est norme , dclare Clar Rosso, directrice gnrale de l’ISC2 (International Information Systems Security Certification Consortium). Selon la dernire tude d’IBM sur le sujet, les professionnels de la cyberscurit se font rares une poque o le cot moyen d’une violation de donnes aux tats-Unis s’lve 4,5 millions de dollars. En outre, Fortinet, une entreprise amricaine qui dveloppe et vend des logiciels et services de cyberscurit, indique que 80 % des organisations ont subi une ou plusieurs violations qu’elles peuvent attribuer un manque de comptences ou de sensibilisation en matire de cyberscurit. Mais ce n’est pas tout.
Le manque de talents en cyberscurit n’est pas le seul problme des organisations : les travailleurs actuels seraient peu qualifis. Un rapport publi cette anne par le gouvernement britannique a rvl que 50 % des entreprises britanniques – soit 739 000 au total – manquent de comptences de base en cyberscurit, ce qui signifie que les responsables de la cyberscurit n’ont pas la confiance ncessaire pour mettre en uvre les mesures techniques qui protgent contre les attaques numriques les plus courantes. D’autres rapports font le mme constat et ajoutent que les travailleurs peu qualifis sont souvent des portes d’entre pour les cybercriminels.
Par ailleurs, selon les analystes du secteur, la pnurie de talents qualifis dans le domaine de la cyberscurit se poursuit et a commenc avoir un impact sur la capacit des entreprises se mettre en conformit. Les entreprises doivent respecter ou maintenir la conformit, et les donnes des consommateurs doivent tre scurises. Les entreprises qui ne disposent pas de ressources suffisantes pour se mettre en conformit et garantir la scurit des donnes de leurs clients risquent de rencontrer des difficults dans la commercialisation de leurs produits et services, ce qui aura un impact sur leurs aspirations la croissance et l’expansion.
Les causes de la pnurie de main-d’uvre dans le secteur de la cyberscurit
Roy Zur, PDG du fournisseur de comptences numriques et de cyberscurit ThriveDX, affirme qu’ certains gards, la pnurie de comptence est un problme « auto-inflig », car les entreprises recherchent des candidats ayant un niveau d’exprience minimum strict. On ne peut pas rsoudre le problme en ne s’occupant que des personnes en place. Les entreprises doivent changer d’tat d’esprit et comprendre que pour rsoudre ce problme, elles doivent ouvrir les portes , explique-t-il. Les analystes indiquent qu’un problme particulier est le manque de programmes de formation spcialise et acclre, malgr la forte demande des employeurs.
Selon un rapport publi cette anne par Fortinet sur le dficit de comptences dans le secteur, 90 % des responsables de la cyberscurit recherchent des certifications axes sur la technologie lorsqu’ils recrutent du personnel. Selon Zur, les diplmes universitaires et collgiaux ne constituent pas un moyen efficace de former des gens dans le secteur de la cyberscurit. Zur estime que ces cursus prennent trop de temps et sont souvent trop gnraux – en informatique ou en ingnierie, par exemple. En revanche, il n’a pas hsit souligner le succs de l’unit isralienne de cyberguerre 8200, qui forme en six huit mois des jeunes qui ont quitt l’cole.
Il faut que davantage d’entreprises du secteur priv se lancent dans ce domaine et forment les gens , dclare-t-il. De mme, Rosso estime que les jeunes employs devraient rapidement tre en mesure de prendre en charge le gros du travail cyberntique de base, condition qu’ils reoivent la formation adquate. Elle conseille donc aux entreprises de recruter pour les comptences non techniques et l’tat d’esprit, c’est–dire de recruter des personnes capables de rsoudre des problmes et d’avoir un esprit analytique et critique, puis de les former pour les comptences techniques. Certaines organisations ont lanc de nouveaux types de formation.
L’ISC2 a cr une nouvelle certification appele « Certified in Cyber Security », qui vise former les candidats aux principes fondamentaux de la cyberscurit, tels que la rponse aux incidents et la scurit des rseaux. Au cours de la premire anne, plus de 250 000 personnes se sont inscrites, un chiffre que l’ISC2 souhaite porter 1 million au fil du temps. Les gouvernements prennent aussi des mesures. Aux tats-Unis, l’administration Biden a annonc en juillet la cration d’une entit conue pour augmenter le nombre de travailleurs qualifis en rendant l’enseignement et la formation en cyberntique plus accessibles et plus abordables.
De son ct, le Royaume-Uni a mis en place un programme « Upskill in Cyber », en partenariat avec l’institut de formation la cyberscurit SANS, qui a enregistr un nombre record de demandes d’inscription. Rosso estime qu’il devrait y avoir davantage de partenariats public-priv et de collaborations intersectorielles, et souligne galement la ncessit d’atteindre des objectifs plus long terme, tels que « l’amlioration des connaissances des coliers dans le domaine de la cyberscurit, des cadres et des membres du conseil d’administration ». Certains analystes critiquent galement le comportement des entreprises en cas de violation de donnes.
Alors que l’conomie mondiale semble ralentir de jour en jour, supprimant de plus en plus d’opportunits d’emplois moralement sains, le risque de cybercriminalit va considrablement augmenter. Nous l’avons dj vu. tant donn que de nombreux cybercriminels attaquent partir de juridictions non lgales, les entreprises cherchent-elles embaucher de vritables employs pour lutter contre la cybercriminalit, ou cherchent-elles embaucher un bouc missaire qui portera le chapeau lorsque l’invitable se produira ? , peut-on lire dans les commentaires. Selon ces critiques, cela pousse certains travailleurs fuir ce type de travail.
Les domaines faisant le plus appel aux professionnels qualifis en cyberscurit
Selon Rosso, il existe des domaines particuliers dans lesquels la demande de comptences augmente. Il s’agit notamment de la scurit dans le cloud, les entreprises s’orientant de plus en plus vers le cloud depuis que la pandmie a catalys la croissance du travail distance et hybride. En mars 2022, plus de 60 % des donnes des entreprises taient dj stockes dans le nuage. Ce pourcentage ne cesse d’augmenter mesure que les entreprises transfrent leurs oprations numriques dans des environnements de cloud computing. Mais en l’absence de professionnels qualifis pour protger l’accs aux donnes, les violations se multiplient galement.
Un autre domaine est l’automatisation, l’heure o l’IA volue rapidement et peut fournir des outils sophistiqus aux pirates informatiques comme aux dfenseurs. Un rapport publi en janvier indique que des chercheurs de l’entreprise amricaine de cyberscurit CyberArk sont parvenus crer un logiciel malveillant polymorphe l’aide de ChatGPT, le chatbot d’IA d’OpenAI. Les chercheurs affirment que le logiciel malveillant gnr par ChatGPT peut facilement chapper aux meilleurs produits de scurit et rendre les mesures d’attnuation fastidieuses ; tout ceci avec trs peu d’efforts ou d’investissements de la part de l’adversaire.
Ils ont mis en garde contre ce qu’ils appellent « une nouvelle vague de logiciels malveillants polymorphes faciles et bon march capables d’chapper certains produits de scurit ». Dans leur rapport d’tude, les chercheurs expliquent : en utilisant la capacit de ChatGPT gnrer des techniques de persistance, des modules Anti-VM [Anti Virtual Machine] et d’autres charges utiles malveillantes, les possibilits de dveloppement de logiciels malveillants sont vastes. Bien que nous n’ayons pas approfondi les dtails de la communication avec le serveur C&C, il existe plusieurs faons de le faire discrtement sans veiller les soupons .
Un rapport de CheckPoint indique que ChatGPT peut gnrer le code dun logiciel malveillant capable de voler des fichiers prcis sur un PC, de les compresser et de les envoyer sur un ordinateur distant. Il peut aussi gnrer du code pour un outil qui installe une porte drobe sur un ordinateur et ensuite tlcharge dautres logiciels malveillants partir de cette dernire. L’entreprise rapporte en sus que les cybercriminels peuvent sen servir pour la mise sur pied de logiciels capables de chiffrer les fichiers du PC dune cible. CheckPoint estime que ChatGPT ouvre ces possibilits des individus avec de trs faibles connaissances techniques.
Ces nouveaux outils et la pnurie de talents en cyberscurit font craindre le pire aux entreprises pour les annes venir. Les statistiques montrent que 52 millions de violations de donnes ont eu lieu dans le monde au cours du deuxime trimestre de l’anne prcdente. Ce problme stimule la demande de talents en cyberscurit dans tous les secteurs. Cependant, avec plus de 700 000 postes non pourvus dans ce domaine rien qu’aux tats-Unis, les entreprises pourraient subir de graves pertes si elles ne trouvent pas rapidement une solution satisfaisante. Le cot d’une violation de donnes pourrait galement augmenter l’avenir.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la pnurie de talents qualifis dans le secteur de la cyberscurit ?
Selon vous, qu’est-ce qui explique cette pnurie de talents ? L’industrie peut-elle y remdier ?
Comment l’industrie peut-elle former des talents qualifis ? Quelles sont les politiques mettre en place ?
Pensez-vous que les travailleurs fuient les postes dans la cyberscurit en raison des politiques des entreprises ?
Voir aussi