Comment lutter contre la pénurie de compétences en cybersécurité

langage-programmation-faille-securite-it

Croissante, la pénurie d’experts en sécurité expose les entreprises à des risques accrus de cybercriminalité.

A longueur d’articles, les experts du marché de l’emploi du secteur numérique évoquent la pénurie de profils dans les domaines du big data ou de l’intelligence artificielle. Selon une étude de Capgemini, ce sont pourtant les métiers de la cybersécurité qui connaissent les tensions les plus fortes.

Sur les 1 200 dirigeants et employés interrogés de part le monde  (*), 68 % expriment un besoin de compétences en sécurité informatique, devant le cloud ou l’analytics. Et la pénurie devrait encore s’accentuer dans les années à venir. La demande de talents en cybersécurité sera ainsi plus élevée en 2020 pour 72 % des répondants.

D’autres études convergent dans ce sens, soulignant cette pénurie de ressources. Cybersecurity Ventures avance à 3,5 millions le nombre de postes de cybersécurité qui seront ouverts en 2021 dont environ un million pour l’Inde seule.

Des études particulièrement longues

Cette pénurie sur des postes sensibles n’est pas sans poser des problèmes aux entreprises confrontées à des menaces toujours plus nombreuses et sophistiquées.

« Les entreprises qui mettent plusieurs mois à trouver des candidats compétents buttent non seulement sur un problème d’efficacité, mais s’exposent aussi à des risques accrus de cybercriminalité », estime Mike Turner, en charge des opérations pour la ligne de services cybersécurité de Capgemini.

Dans une tribune récemment publiée sur le site des Echos, Richard Rey, enseignant-chercheur en sécurité de l’information à l’ESIEA avançait quelques éléments pour expliquer le nombre insuffisant d’experts en cybersécurité au regard des besoins des entreprises.

Les études sont d’abord longues. Il faut au moins quatre années d’études supérieures pour maîtriser plusieurs langages de programmation, l’architecture web et l’ingénierie réseaux avant de s’attaquer aux arcanes de la sécurité. Une fois formés, ces experts sont rapidement absorbés par le marché.

Vocation et féminisation en berne

Les clichés véhiculés autour de la cybersécurité entreverraient par ailleurs les vocations. Relayée par les médias, l’image du « geek affalé devant un mur d’écrans surveillant le défilement de lignes de code dans un désert relationnel total » n’incite pas les jeunes à s’engager dans ce métier pourtant épanouissant selon l’auteur.

La cybersécurité attire encore moins les étudiantes avec seulement 11 % de femmes travaillant dans la cybersécurité. Pourtant, d’après Richard Rey, elles excellent dans cette filière. « Elles sont plus innovantes et possèdent très tôt des compétences verbales et relationnelles plus aiguisées qui leur permettent de mener des audits avec d’excellents résultats. »

Recruter différemment et fidéliser les talents

Pour combler ce déficit de compétences, Capgemini propose dans son étude quelques pistes. Selon l’ESN, les entreprises doivent élargir le spectre du recrutement en s’ouvrant par exemple aux mathématiciens mais aussi aux personnes autistes qui « possèdent souvent des aptitudes exceptionnelles dans tout ce qui a trait au numérique et à la résolution de problèmes […] et bénéficient d’un excellent sens du détail ainsi que d’une approche méthodique du travail. »

Une fois recrutés il faut aussi fidéliser les talents « en offrant des conditions de travail flexibles, en encourageant la formation et en proposant des perspectives d’évolution professionnelle claires et accessibles ». Les entreprises gagneraient aussi, selon Capgemini, à généraliser la culture de cybersécurité en dehors de l’équipe responsable de la protection des données.

Enfin, les sociétés qui ont du mal à recruter en externe peuvent rechercher ces profils parmi leurs collaborateurs et les former. La moitié des employés montreraient une appétence pour les compétences numériques et commenceraient à les développer par leurs propres moyens. Certains d’entre eux pourraient, après formation, occuper des postes dans la gestion de réseaux ou l’administration de bases de données.

(*) L’étude « Cybersecurity Talent : The Big Gap in Cyber Protection » a été menée de juin à juillet 2017 dans neuf pays dont la France auprès de plus de 1 200 dirigeants et employés d’entreprises réalisant un chiffre d’affaires supérieur à 500 millions de dollars.