Les responsables de la sécurité disent qu'ils s'attendent à ce que la demande de talents dépasse l'offre au moins pour les prochaines années. Votre tâche: élaborer des plans de dotation qui tiennent compte de cette réalité.
Les chiffres ne sont pas encourageants pour les CISOs qui cherchent à embaucher des professionnels de la sécurité: le marché du travail de la cybersécurité aux États-Unis est à court d'environ 500 000 travailleurs, selon un rapport récent du nonprofit training group (ISC)².
Voici des nouvelles plus décourageantes: ce même rapport, l'étude de 2019 (ISC)² sur la main-d'œuvre de la cybersécurité, estime que la main-d'œuvre de la cybersécurité aux États-Unis doit augmenter de 62% pour répondre à la demande des entreprises pour les talents. Globalement, les chiffres sont encore plus redoutables. Le groupe a calculé que la main-d'œuvre mondiale de la cybersécurité doit augmenter de 145% pour éliminer le déficit de compétences.
Les chiffres ne sont pas particulièrement surprenants, selon les principales autorités de sécurité qui disent que le rapport quantifie leur expérience d'embauche.
“Oui, nous avons une pénurie dans le cyber, et il ne va pas être résolu bientôt. Il ne s'agit pas d'un domaine où l'on peut devenir un expert du jour au lendemain”, déclare Keith Palmgren, instructeur principal à L'institut SANS, un organisme de formation à but non lucratif, et auteur de SANS SEC301: Introduction to Cyber Security.
Bien que le manque important de professionnels de la cybersécurité crée des défis pour les CISOs, Palmgren, les CISOs vétérans et les dirigeants de la direction disent que le problème est exacerbé par le fait que de nombreuses équipes de sécurité d'entreprise n'ont pas une stratégie d'acquisition de talents et de rétention qui est alignée sur les besoins d'affaires et les réalités du marché.
Quelle est la solution? Ces experts estiment que les CISO devraient d'abord se concentrer sur l'élaboration d'une stratégie pour construire plus efficacement les équipes dont ils ont besoin tout en reconnaissant les limites d'un marché du travail serré.
“La plupart des organisations n'ont pas de stratégie de main-d'œuvre en matière de sécurité. Ils ne savent pas ce qu'ils veulent en termes de personnes, de compétences et de talents d'ici six mois à un an. Ils embauchent pour des postes dont ils avaient besoin il y a 6 à 12 mois. Et si vous demandez aux CISO ce dont ils ont besoin dans un an, ils ne savent pas. Ce cycle les gardera toujours à la traîne”, explique Sam Olyaei, directeur de Gartner Research, où il fait partie du groupe de gestion des risques et de la sécurité.
Compétences à forte demande
Bien que le rapport (ISC)² confirme une pénurie générale de talents, certaines compétences font l'objet d'une demande accrue et demeurent donc parmi les plus difficiles à trouver. Les professionnels de la sécurité possédant de l'expérience dans la sécurisation des déploiements de l'internet des objets (IoT), l'exécution de tests de pénétration, la construction d'infrastructures sécurisées (particulièrement dans le cloud), la modélisation de menaces et la conception de code sécurisé dans un DevOps ou un Agile shop sont très prisés sur le marché du travail.
Parmi les autres professionnels recherchés, on compte des analystes de la sécurité et des analystes judiciaires ainsi que des spécialistes de la mise en œuvre de cadres de contrôle et de gestion des risques.
Et tout professionnel de la sécurité possédant des compétences techniques ainsi que de solides compétences non techniques (telles que les compétences en communication et en collaboration) associées à un sens aigu des affaires est le plus en demande, affirme Greg Layok, directeur général de West Monroe Partners et chef de file du cabinet de conseil en gestion dans le domaine de la technologie.
Ces observations concordent avec celles de ceux qui touchent le salaire le plus élevé sur le terrain. Mondo, l'Agence Nationale de dotation, a indiqué dans son guide salarial de marketing technologique et numérique 2019 que les professionnels les mieux payés dans cet espace sont les gestionnaires des SI avec une fourchette de rémunération de 120 000 $à 185 000$; Les ingénieurs en sécurité des applications avec une rémunération de 120 000 $à 182 500$; les ingénieurs en sécurité des réseaux qui gagnent 115 000 $à 172 500$; et les ingénieurs en cybersécurité avec une rémunération annuelle de 110 000 $à 165000$.
Compétences mal alignées, rôles
Comme le CISO chez LEO Cybersecurity et l'ancien CISO chez U. S. Army Healthcare, Heath Renfrow reconnaît les défis auxquels lui et d'autres font face en remplissant des rôles.
“Tout le monde sur cette planète est conscient de la menace réelle pour leurs entreprises dans le cyberespace, et tente désespérément d'obtenir une emprise et d'améliorer leurs postures de cybersécurité. Presque tous les directeurs principaux de la cybersécurité/CISO que je connais ont des postes clés à combler; il n'y a pas de différence avec mon entreprise actuelle ou avec le Département de la défense”, dit-il.
Mais lui et d'autres cadres supérieurs de la sécurité disent que le manque de compétences ne concerne pas seulement la pénurie de talents, mais aussi les erreurs dans la façon dont les CISO conçoivent les postes dont ils ont besoin.
Ils disent que les OCIM ont tendance à créer des postes qui exigent qu'un candidat retenu possède plusieurs titres de compétences combinés avec au moins plusieurs années d'expérience et de connaissance des multiples outils logiciels spécifiques liés à la sécurité mis en œuvre au sein de l'entreprise du OCIM. Les OCIM ont ainsi établi des attentes tellement irréalistes pour les postes ouverts qu'ils garantissent presque qu'ils ne trouveront pas de candidat qualifié, ce qui ne fait que renforcer le sentiment qu'il y a une crise de la dotation en matière de sécurité.
"Ils créent souvent des rôles basés sur les outils qu'ils gèrent, et chaque organisation a sa propre combinaison d'outils qu'ils utilisent, donc il devient difficile de remplir le rôle parce qu'ils ont plusieurs outils dont ils ont maintenant besoin pour avoir un expert dans ces outils exacts, donc ils ont besoin de trouver une licorne, " dit Nate Ulery, un directeur général de West Monroe Partners et un autre leader dans sa pratique technologique.
Juste construire aveuglément une description de travail avec le langage cyber professionnel standard ne va pas vous faire du bien.
— Heath Renfrow
Les Experts disent que cela est lié à une tendance générale parmi de nombreux dirigeants de la sécurité d'entreprise à mal adapter les rôles et les compétences dont ils disent qu'ils ont besoin avec les risques réels pour les organisations individuelles.
“Juste construire aveuglément une description de travail avec le langage cyber professionnel standard ne va pas vous faire du bien. Rédigez une description de travail qui est spécifique aux tâches réelles qui traitent du risque ou des risques que la personne devra atténuer, et à partir de là, vous pouvez commencer à former l'équipe dont vous avez besoin pour relever ces défis fondamentaux”, dit M. Renfrow.
Il ajoute: "la clé pour vraiment construire un programme de cybersécurité solide est d'établir une relation d'affaires solide avec vos pairs cadres, d'écouter leurs besoins et leurs objectifs, et d'apprendre comment les compléter du point de vue de la cybersécurité.”
Gartner occupe un poste similaire, conseillant les CISO dans son livre blanc de 2019 sur les compétences pour établir une Expertise en matière de sécurité et de risques dans un monde numérique que la sécurité des entreprises “les dirigeants doivent regarder au-delà de la pénurie de compétences pour identifier et développer des compétences pertinentes pour leur main-d'œuvre afin d'assurer l'alignement avec les objectifs d'affaires numériques.”
Selon M. Olyaei, les OCIM devraient élaborer leur stratégie en matière de personnel en fonction de leur feuille de route globale en matière de sécurité, qui devrait comprendre l'automatisation des tâches manuelles afin de détourner le temps précieux du personnel vers des emplois de plus grande valeur et l'impartition des tâches liées aux biens et services, comme la surveillance, afin que le personnel puisse se concentrer sur les besoins uniques de son entreprise, comme l'évaluation des risques et la gouvernance.
Il affirme que les Osci devraient également évaluer leurs organisations en fonction d'un cadre de dotation afin de déterminer ce qu'elles possèdent en matière de compétences et de déterminer et de perfectionner les compétences dont l'équipe de sécurité a besoin maintenant et dans l'avenir pour appuyer le programme opérationnel.
“Ils devraient faire correspondre ces compétences aux rôles qu'ils croient correspondre à ces compétences”, ajoute-t-il, expliquant qu'une personne ayant des compétences en collaboration et en communication, par exemple, serait bien placée pour occuper un poste d'évaluation des risques.
Olyaei note également qu'une telle approche permet aux Osci d'élargir leur bassin de candidats en concentrant leur recherche sur les compétences, qui se retrouvent aussi chez les travailleurs de disciplines autres que la sécurité. Selon lui, un membre du personnel des Finances peut posséder les compétences en matière de collaboration et de communication, ainsi que les antécédents en matière d'évaluation des risques dont le Bureau a besoin pour effectuer une évaluation des risques.
“Pourquoi ne pas tirer quelqu'un de très bon à l'analyse des données et les former à regarder les données de sécurité?"demande Candy Alexander, consultante indépendante en sécurité et présidente internationale de L'Association pour la sécurité des systèmes d'Information (AISS). “Nous devons donner plus de formation polyvalente afin de constituer le bassin de ressources dont nous avons besoin.”
De former et de conserver
Les responsables de la sécurité disent qu'ils s'attendent à ce que la demande de talents dépasse l'offre au moins pour les prochaines années, de sorte que les Osci doivent élaborer des plans de dotation qui tiennent compte de cette réalité.
Ulery affirme que les CISO peuvent se préparer pour l'avenir en se concentrant autant sur la formation et le recyclage que sur les efforts de recrutement. Son cabinet conseille aux CISO de former leur personnel existant sur les outils de sécurité utilisés dans leur entreprise afin que l'équipe puisse mieux gérer un départ et qu'elle puisse développer ses propres compétences. Il recommande également d'offrir aux travailleurs de nouvelles possibilités au sein de l'organisation, ce qui constitue, selon lui, un autre moyen clé de renforcer les postes de travail et de favoriser le maintien en poste.
Selon Palmgren, l'instructeur SANS, le CISOs doit aussi s'attaquer à l'environnement parfois peu accueillant, voire hostile, qui peut exister dans la cybersécurité, en particulier pour les professionnels et les femmes nouvellement engagés. "Comment s'attendre à ce qu'ils entrent dans l'industrie si nous les traitons [mal]?” il demande, en notant que les CISO qui protègent contre un tel comportement sont plus susceptibles d'avoir des équipes solides avec moins de roulement.
D'autres font des suggestions semblables, notant que les Osic ne peuvent se permettre d'avoir une mauvaise culture de travail s'ils veulent attirer et conserver de bons employés.
"Les OSCI doivent bâtir la bonne culture et prendre soin de leurs employés, afin qu'ils puissent maintenir leur taux d'attrition faible", affirme Mike Mosunic, co-fondateur et chef de la direction de Wolf Hill Group, une entreprise nationale de recrutement axée sur la cybersécurité. “La plupart des CISO ne peuvent pas se permettre de perdre des membres de leur équipe.”
Mosunic et d'autres affirment que les CISO, confrontés à un manque d'employés prêts à l'emploi, doivent se concentrer davantage sur le développement de leurs propres talents, trouver des travailleurs avec autant de compétences qu'ils cherchent à répondre aux besoins uniques en matière de sécurité de leur propre organisation et les former sur les compétences techniques dont ils auront besoin à l'avenir.
That, experts say, could help begin to close the skills gap – at least within the CISO’s own individual security group.
“It’s those CISOs who develop talent,” Ulery says, “who will be better at retaining and also recruiting the workers they need.”
