Le manque de compétences en cybersécurité affecte 70 % des organisations, car elles n'ont pas une vision stratégique de la profession,
selon un rapport de ESG-ISSA

De fin 2019 jusqu'au début de l'année 2020, l'Enterprise Strategy Group (ESG) et l'Information Systems Security Association (ISSA) ont mené le quatrième projet de recherche annuel axé sur la carrière et les expériences professionnelles des professionnels de la cybersécurité. Le rapport issu dudit projet est basé sur les données d'une enquête menée auprès de 327 professionnels de la cybersécurité et membres de l'ISSA. 92 % des répondants à l'enquête résidaient en Amérique du Nord, 4 % venaient d'Europe, 3 % d'Asie et 1 % d'Amérique centrale et du Sud.

Le rapport souligne une forte pénurie dans le domaine de la cybersécurité qui touche 70 % des organisations, avec des conséquences telles que l'augmentation de la charge de travail, les postes vacants non pourvus et l'incapacité d'apprendre ou d'utiliser les technologies de cybersécurité à leur plein potentiel. Parmi les professionnels de la cybersécurité interrogés, 68 % déclarent ne pas avoir de cheminement de carrière bien défini. Lorsqu'on leur a demandé ce qui était le plus important pour leur développement de carrière, 52 % ont choisi l'expérience pratique, tandis que 44 % affirment que l'expérience pratique et les certifications sont tout aussi importantes.

Comme l'indiquent clairement ce rapport et les précédents, les organisations et les professionnels de la cybersécurité n'ont pas une vision stratégique de la profession. Il y a un manque continu de formation, de développement de carrière et de planification à long terme. En conséquence, les professionnels de la cybersécurité se débrouillent souvent dans leur carrière sans grande orientation, sautant d'un emploi à l'autre et améliorant leurs compétences à la volée plutôt que de manière systématique. Cette situation, combinée à la pénurie persistante de compétences en matière de cybersécurité, a freiné les progrès dans ce domaine.

Les données mises en évidence par cette recherche, année après année, montrent également que de multiples facteurs contribuent au problème du « déficit de compétences en cybersécurité », notamment le fait que les entreprises ne mesurent pas à leur juste valeur l'intérêt de sécuriser l'information dans une organisation et qu'il n'existe pas de plan de carrière clair et convenu au sein de cette profession :


En outre, le temps qu'il faut pour acquérir des compétences suffisantes en matière de cybersécurité reste un facteur défavorable pour les employeurs. En effet 39 % estiment qu'il faut entre trois et cinq ans pour développer de réelles compétences en matière de cybersécurité, tandis que 22 % disent deux à trois ans et 18 % affirment qu'il faut plus de cinq ans. Pour les employeurs, cela signifie que les professionnels de la cybersécurité de premier niveau doivent être considérés comme des investissements à long terme, et non comme des spécialistes de la résolution immédiate de problèmes.


« Le fossé de la cybersécurité ne peut pas être comblé en se contentant de remplir le pipeline avec de nouvelles personnes. Ce qu'il faut, c'est une approche holistique, en commençant par l'éducation du public, le développement et la planification de carrière, et la cartographie des carrières - le tout avec le soutien et l'intégration de l'entreprise », déclare Candy Alexander, présidente du conseil d'administration de l'ISSA International. C'est ainsi que selon 36 % des personnes interrogées, les organisations devraient proposer un peu plus de formation à la cybersécurité, tandis que 29 % estime que leur organisation devrait proposer beaucoup plus de formations.


Source : ISSA

Et vous ?

Pourquoi rien ne semble changé pour les métiers de la cybersécurité selon vous ?
Quelles mesures supplémentaires les organisations devraient-elles prendre pour lutter contre le manque de compétences dans le domaine de la cybersécurité en général ?

Voir aussi

La cybersécurité confrontée à une pénurie mondiale de près de 3 millions de personnes qualifiées

Les priorités des organisations en matière de cybersécurité au sortir des confinements changent

Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité

56 % des professionnels de la sécurité informatique admettent que leurs infrastructures présentent des lacunes

Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude