Titre: Opportunités pour sortir de la crise : exploiter la ‘Grande Démission’ pour combler le déficit de compétences en cyber-sécurité – ESET explique de compétences en cyber-sécu (12/05/2022 Par cda)
Le 12 mai 2022 - Nous savons tous qu'il y a une pénurie de compétences en cyber-sécurité. Dans le monde entier, le manque de talents se compte en millions. Mais nous avons aussi entendu parler de la ‘Grande Démission’ : une période de bouleversements uniques sur le marché du travail alors que les travailleurs réévaluent leur cheminement de carrière après la pandémie. À première vue, cela semble une mauvaise nouvelle pour des secteurs comme la cyber-sécurité où la demande de compétences est déjà très élevée. Une étude américaine récente (US study claims) affirme que près des trois quarts (72 %) des employés travaillant dans l’informatique envisagent de démissionner dans les 12 prochains mois.
Il peut cependant y avoir une opportunité pour les employeurs. Avec la bonne politique d'embauche, les organisations peuvent tirer parti de la volatilité du marché du travail pour attirer de nouveaux talents dans leur giron. Ils peuvent améliorer leur position en sécurité et poursuivre leur transformation numérique sécurisée ainsi que l'innovation en tant que moteur essentiel de progrès (innovation as an essential driver of progress).
La sécurité est-elle un défi aux compétences ?
Une étude récente d’ISACA (www.isaca.org) présente des informations de plus de 2 000 professionnels de la cyber-sécurité au niveau mondial. 63 % d’entre eux ont des postes de sécurité vacants, en hausse de 8 % sur un an, et 62 % estiment que leurs équipes sont en sous-effectif. Un cinquième dit qu'il faut plus de six mois pour trouver des candidats qualifiés pour les postes vacants.
[LECTURE CONNEXE : Getting into cybersecurity: Self taught vs. university educated?]
60 % des répondants signalent avoir des difficultés à conserver le personnel actuel, une hausse de 7 % par rapport à l'an derniers. Les principales raisons qui poussent le talent à partir sont :
• Recrutement par d'autres entreprises (59 %)
• Salaire/bonus insuffisant (48 %)
• Avancement limité (47%)
• Niveau de stress élevé (45%)
• Faible support du management (34 %)
Ces résultats concordent avec d'autres recherches dans le secteur. Selon le rapport (ISC)², le déficit mondial de compétences en cyber-sécurité s'élève aujourd’hui à 2,7 millions de travailleurs, dont près de 200 000 en Europe. Au Royaume-Uni, la moitié des responsables en sécurité ont affirmé qu'ils envisageaient de démissionner en raison du stress et de l'épuisement professionnel.
Une mauvaise période pour perdre des compétences
Alors que 43 % des organisations déclaraient à ISACA avoir subi plus d'attaques l'an dernier, les pénuries de compétences les rendent plus dangereuses. Selon le rapport (ISC)², les principales conséquences de ces pénuries sont :
• Systèmes mal configurés (32 %)
• Pas assez de temps pour une bonne évaluation des risques (30 %)
• Correction lente des systèmes critiques (29 %)
• Omissions dans les processus et les procédures (28 %)
Mais il y a des moyens pour atténuer le manque de talents. L'automatisation et l'apprentissage automatique (ML) peuvent prendre en charge certains processus banals et libérer du personnel pour qu'il puisse travailler à des tâches plus importantes. Mais les organisations ont toujours besoin d'humains pour former et interpréter les résultats des systèmes ML. L'externalisation est une autre option, mais elle peut être coûteuse et souvent les fournisseurs n'ont pas une connaissance suffisante de organisation de leurs clients.
Où sont les opportunités ?
La vérité c’est que les méthodes traditionnelles d'embauche contribuent depuis longtemps à la crise des compétences en matière de sécurité. Trop d'organisations recherchent des accréditations et des diplômes universitaires chez les candidats. Dans certains cas, les recruteurs n'ont pas la possibilité d'interviewer des candidats potentiellement capables car un logiciel RH automatisé les a ex-filtrés.
Bien entendu, un certain sens technique est nécessaire. Mais beaucoup de choses peuvent être enseignées sur le tas. Certaines compétences sont plus difficiles à enseigner, telles que :
• Résolution de problème
• La communication interpersonnelle
• L’attention aux détails
• Simplifier ce qui est complexe
• La curiosité
• La réflexion stratégique.
[LIRE AUSSI: What’s it like to work as a malware researcher? 10 questions answered]
Tous ceci est aussi important que les accréditations et les diplômes. Le principal manque de compétences que les répondants à l'enquête ISACA ont constaté chez les professionnels d'aujourd'hui sont les compétences non techniques (54%). Les politiques d'embauche aveugles ont contribué à un manque de diversité dans nombre d’industries. Les employeurs passent donc à côté de nouvelles perspectives et de diverses façons de penser qui peuvent ajouter une valeur considérable à leurs équipes de sécurité, sans parler de l'aide à résoudre les pénuries de compétences.
Le temps du changement
Que peuvent faire les employeurs pour bénéficier de la ‘Grande Démission’ et capitaliser sur la fluidité actuelle du marché du travail ? Dix points :
• Ne pas se concentrer uniquement sur les accréditations, les certifications et les diplômes universitaires, mais tenir compte de l'expérience réelle et du désir d'apprendre
• Ré-entraîner les algorithmes de RH pour s'assurer qu'ils ne filtrent pas indûment les candidats potentiellement appropriés
• Changer la culture d'embauche en une culture où l'on met davantage l'accent sur la formation ‘sur le tas’ des candidats
• Attirer les talents des départements adjacents tels que l'informatique
• Contactez des talents extérieurs à l'organisation, dans des emplois tels que les mathématiques, la gestion de bases de données et même d'anciens militaires
• Offrir une meilleure aide aux parents isolés et aux mères qui retournent au travail après avoir eu un enfant. Beaucoup peuvent envisager de changer de carrière après avoir fait une pause
• Augmenter les rémunérations pour mieux refléter la nature stressante de nombreux emplois en sécurité et l’aspect criticité de la fonction dans l'entreprise
• Faire plus pour retenir le personnel existant grâce à des mentors et des plans de développement de carrière
• Se fixer des objectifs de diversité et s’y tenir
• Éliminer les écarts de rémunération et de promotion.
Ceci n'est pas une liste exhaustive. En étant plus créatifs dans leur embauche et en faisant évoluer la culture autour de la cyber-sécurité, les employeurs peuvent bénéficier de cette période unique sur le marché du travail. À mesure que les menaces augmentent, ils doivent supprimer les obstacles.
Retour