Cybersécurité : une autre perspective sur la pénurie de compétences

En cybersécurité, il n'y a pas de pénurie de talents : il faut juste apprendre à identifier les compétences dont on a besoin.

Tels sont les propos d'Helen Patton, ancienne CISO de division chez Cisco. Le SANS Institute la cite dans un rapport qui aborde cette question.

D'après l'intéressée, la perspective de pénurie est liée au manque de standardisation des familles de métiers : en l'état, dans l'industrie, les besoins ne sont pas assez codifiés. La réglementation aidera probablement à aller vers des définitions plus structurées, mais cela n'empêchera pas le risque de conflit avec les besoins spécifiques de chaque organisation, poursuit-elle.

Chez Airbus, on a structuré 10 profils répartis en 3 familles. Ce à partir du framework NICE (National Initiative for Cybersecurity Education, émanant du gouvernement américain), adapté aux besoins du secteur de l'aviation et combiné aux exigences de l'ENISA.

Santander a opté pour ce même framework. Tout en prônant, au sein de ses équipes, le "mentorat inversé" ; ou comment les plus expérimentés se nourrissent de la vision des plus jeunes.

"Quiconque a plus de 45 ans devrait avoir un mentor de moins de 30 ans", confirme Lynn Dohm. Un salarié a 5 fois plus de chances d'obtenir une promotion s'il a un mentor, ajoute la directrice exécutive de WiCyS (Women in Cybersecurity).

Pour elle, les soft skills sont d'autant plus importantes en cybersécurité qu'il faut construire des équipes. Aus Alzubaidi, CISO de MBC Group (conglomérat médias-divertissement en région Moyen-Orient - Afrique), n'en dit pas moins. Il y a quelques années, les talents en cybersécurité, c'était 70 % d'expertise technique et 30 % de soft skills (adaptabilité, agilité, curiosité...), assure-t-il. Aujourd'hui, le rapport s'est inversé. De même, "il y a 10 ans, l'IT rédigeait les fiches de postes, les transmettait aux RH et attendait des candidats". Désormais, elle forme les RH, les aidant à comprendre les stacks technologiques et les frameworks de sécurité à travers des notions comme le shift left. Le CISO a directement accès au compte LinkedIn de recrutement, de sorte qu'il peut affiner lui-même les offres d'emploi.

Airbus fonctionne sur la même logique : un membre des RH travaille dans l'équipe cybersécurité. "Quand je [lui] dis qu'il nous faut un architecture, il sait exactement ce que fait [ce profil]", déclare le CISO du groupe.

Les salaires, premier obstacle au recrutement... et à la rétention

L'an dernier, le SANS Institute s'était concentré sur les profils mid-level. Cette fois, il n'a pas ciblé de niveau d'expérience spécifique.

En parallèle, la composition de l'échantillon interrogé a sensiblement évolué sur certains aspects. En particulier la taille des organisations représentées. La part de celles de moins de 100 employés augmente fortement (27 % des quelque 3400 répondants, vs 15 % de l'échantillon l'an dernier). À l'inverse, celle des entreprises plus de 1000 salariés diminue (39 %, - 18 points).

Comme l'an dernier, la majorité des organisations vendent des produits et/ou des services de cybersécurité (58 % ; + 10 points). Et l'essentiel des répondants (75 %) sont des directeurs cybersécurité. Le reste, des responsables RH, dont plus de la moitié, toutefois, ont des certifications cyber.

Le niveau de salaire reste le principal défi tant pour le recrutement (24 %, - 2 points) que pour la rétention (28 %). Sur le premier point, vient ensuite la longueur du processus d'embauche (13 %, + 6 points), qui devance dorénavant les avantages sociaux (12 %), le télétravail (11 %) et la culture d'entreprise (11 %). Sur le second, les avantages sociaux (14 %) ressortent devant la formation gratuite (11 %), la culture d'entreprise (11 %) et le leadership (10 %).

Quant aux obstacles à la formation, le temps (39 %, + 1 point) devance désormais le budget (36 %, - 1 point). Dans une moindre mesure mais en progression est le manque d'options (20 %, + 6 points). Celles-ci sont principalement influencées par les exigences métier (26 %), le coût (23 %), le caractère certifiant (21 %) et l'aspect formation continue (13 %).

Illustration principale © Rawpixel - Shutterstock