Discussion :

[Sandra Coret]

45 % des professionnels de la sécurité déclarent que leur service connaît actuellement une pénurie de personnel, il en résulte un ralentissement de la mise en place de correctifs pour les vulnérabilités critiques

La pénurie de talents expose davantage les entreprises aux attaques. Qu'il s'agisse de la Grande Démission ou d'un manque de compétences, les équipes de sécurité et de développement ont du mal à trouver et à conserver suffisamment de personnel qualifié.

Une nouvelle étude publiée par la société de cybersécurité Cobalt révèle que 45 % des personnes interrogées dans le domaine de la sécurité déclarent que leur service connaît actuellement une pénurie de personnel.

L'étude s'appuie sur une enquête menée auprès de plus de 600 professionnels de la sécurité et du développement et sur l'analyse des données de plus de 2 000 pentests pour quantifier l'impact de la pénurie de main-d'œuvre sur les équipes de sécurité et de développement.

Elle révèle que 90 % des personnes interrogées qui ont souffert de la pénurie ou perdu des membres de leur équipe ont du mal à gérer la charge de travail. 96 % des équipes de sécurité affirment qu'il en résulte un ralentissement de la mise en place de correctifs pour les vulnérabilités critiques.

Seulement 7 % des équipes de développement affirment avoir été dotées d'un personnel adéquat pendant au moins six mois et s'attendent à ce qu'il en soit de même pour les six prochains mois. La majorité (97 %) des développeurs affirment que ces difficultés rendent plus difficile le respect des délais critiques pour le lancement de fonctionnalités, et 80 % d'entre eux déclarent que ces difficultés compromettent la qualité et la sécurité du code des développeurs.

Jay Paz, directeur des opérations et de la recherche de Pentest, déclare : "Les défis que notre étude a mis en évidence sont difficiles, mais ils ne sont pas impossibles à résoudre. Téléchargez The State of Pentesting 2022 pour voir de plus près ce que les organisations peuvent faire pour gérer leurs vulnérabilités et retenir les talents au milieu de la Grande Démission - et comment Pentest as a Service (PtaaS) peut vous aider."

Source : Cobalt

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Comment cette pénurie de personnel dans les équipes de sécurité affecte-t-elle votre organisation et ses activités ?

Voir aussi :

La pénurie de compétences constitue le principal obstacle à l'adoption des technologies émergentes, devant les coûts de mise en œuvre et les risques de sécurité, selon Gartner

65 % des responsables de la sécurité déclarent avoir constaté une augmentation des tentatives de cyberattaques, alors que la pénurie de compétences se fait sentir, selon une étude de Splunk

Cybersécurité: une année de changement et de prise de conscience nous attend, par Ben Smith, directeur technique sur site de NetWitness

70 % des responsables informatiques sont préoccupés par la pénurie de compétences en matière de cloud, 46 % ont déclaré que cette situation les ralentissait, selon une enquête de Cloudreach et AWS

[Falquiero]

Je confirme. Je suis en presta et mon client actuel est en galère monstrueuse. Deux ans qu'il essaie d'internaliser plusieurs postes en sécu. Le tout en ouvrant le recrutement à toute l'Europe … Ce sont pas des postes nécessairement trop techniques (et qui n'ont rien à voir avec ma prestation) mais ça lui semble impossible de trouver des candidats sérieux.

Bon après j'avoue que le groupe dans lequel je suis n'est pas vraiment généreux niveau salaire et la sécurité est, en plus de ça, un vrai calvaire à gérer. Pourtant très matures dans leur volonté de progresser en sécurité, dans l'application c'est une catastrophe : Process gargantuesques, beaucoup trop peu de ressources dédiées, trop de départs, services internationaux en opposition aux nationaux … Je manque pas de raisons d'avoir refusé leur offre.

Bien évidemment ça ne touche pas uniquement les correctifs applicatifs, mais aussi la conformité et les contrôles.

[vttman]

...
Bon après j'avoue que le groupe dans lequel je suis n'est pas vraiment généreux niveau salaire ...

Tiens c'est la première idée qui m'était venue en lisant le titre

[smarties]

Si les entreprises mettaient les annonces d'emploi détaillées (si astreintes, tranche horaire, une fourchette de salaire, le quartier et pas juste "Nantes" par exemple ...), ça aiderait.
D'un autre côté, la plateforme pour postuler pourrait avoir une fonction pour indiquer notre motif de refus ou pourquoi on ne veut pas postuler, les entreprises pourraient peut être se remettre un peu en question.

Enfin, il faudrait que les entreprises forment aussi car il y a rarement la même stack technique d'une entreprise à l'autre donc quand je vois des annoncent avec plus d'une 20taine d'outils/langages à connaître, je prend même pas le temps de lire la description du poste