Le manque de compétences en cybersécurité, qui se définit comme un manque de personnes qualifiées pour pourvoir aux postes libres en sécurité informatique, est un phénomène qui a fait l’objet de mes recherches approfondies cette année, et ce, à juste raison. Vous avez peut-être aperçu ce titre à la une :
« Donald Trump encouragé à former 100 000 pirates informatiques pour protéger les États-Unis »
Je n’aime pas la façon dont ce titre est écrit, mais je suis en accord avec l’idée sous-jacente : la Commission on Enhancing National Cybersecurity (commission visant à améliorer la cybersécurité nationale) du président américain a fortement recommandé que le pays intensifie ses efforts afin de former des experts en sécurité qui pourraient travailler pour le bien de l’État au lieu de passer au secteur privé, ce qui est devenu un grave problème au cours des dernières années (Softpedia). Aussi, vous avez sûrement vu passer d’autres titres, comme celui-ci qui provient de Forbes au début de l’année 2016 : « Un million de postes à pourvoir en cybersécurité en 2016 ». Ce problème a des répercussions négatives sur les gouvernements, les entreprises, les organismes à but non lucratif et même les consommateurs (un personnel de sécurité informatique inadéquat peut mener à des violations de données qui peuvent mettre vos renseignements en péril).
Oui, le problème des lacunes de compétences en cybersécurité est grave à ce point
Après avoir étudié les chiffres sous divers angles, je conviens que le monde a probablement besoin d’ajouter un million de personnes compétentes en cybersécurité à celles qui sont actuellement disponibles sur le marché. Aux États-Unis seulement, on a besoin d’environ 200 000 personnes formées en cybersécurité de plus, et c’est sans compter les employés que les gestionnaires des TI aimeraient embaucher sans pouvoir le faire à cause de contraintes budgétaires. Les lacunes de compétences forment un manque de candidats qualifiés pour remplir des postes financés.
Dans un texte que j’ai proposé en octobre à Virus Bulletin, une des plus anciennes conférences de sécurité informatique annuelles, j’ai traité de ces chiffres et de ces définitions. Hier, Virus Bulletin a publié le texte en ligne. J’ai aussi mentionné ces lacunes en compétences dans mon webinaire sur les tendances de 2017 plus tôt cette semaine (inscription requise). Pourquoi les lacunes de compétences causent-elles des soucis? Pour moi, il est évident que ce problème mine la sécurité d’un grand nombre d’entreprises. Combien d’entreprises? Selon mes estimations, au moins les deux tiers.
Examinons les données suivantes. Quatre entités distinctes ont mené leur propre sondage et en sont arrivées à une proportion étonnamment semblable de réponses affirmatives lorsqu’elles ont demandé à des directeurs et à des gestionnaires de TI issus d’une grande variété d’organisations s’ils étaient d’accord qu’il y avait un manque de professionnels en cybersécurité : 80 %.
En 2015 et en 2016, les organisations ISACA et (ISC2)2 ont relevé des chiffres qui se situaient entre 80 et 86 %. Selon une étude parrainée par Intel et McAfee publiée en juillet par CSIS (Center for Strategic and International Studies), ce chiffre s’élève à 82 %. Les résultats de mon propre sondage, réalisé en juillet, se trouvent à droite. Qu’est-ce qu’on obtient si on ajoute le nombre de personnes qui ont donné les réponses « assez difficile » et « très difficile»? Eh oui! 83 %. Vous remarquerez également que personne n’a affirmé que l’embauche en cybersécurité était très facile.
J’étais particulièrement content de voir l’étude de CSIS, et ce n’est pas seulement parce qu’il s’agit de l’une des premières organisations à sonner l’alarme en ce qui concerne les lacunes de compétences (A Human Capital Crisis in Cybersecurity – PDF). En plus d’évaluer la perception de l’ampleur du problème, CSIS a cherché à savoir combien d’organisations considéraient que le manque de compétences causait des « dommages directs et mesurables ». La réponse obtenue est assez étonnante : 71 %! C’est ce qui a mené James A. Lewis, un membre de CSIS, à la conclusion suivante, avec laquelle je suis tout à fait d’accord : « Un manque de personnes qui possèdent des compétences en cybersécurité cause des dommages directs envers les entreprises, dont la perte de données propriétaires et d’IP » (Hacking the Skills Shortage).
Combler les lacunes de compétences
La thèse de ma maîtrise, qui sera publiée l’année prochaine, était une analyse critique des efforts déployés afin de combler les lacunes de compétences en cybersécurité. Toutefois, il y a sans contredit place à l’espoir à ce sujet. Une grande part de cet espoir provient d’une série d’initiatives présidentielles concernant la cybersécurité durant l’administration Obama, à commencer par le lancement de la NICE, soit la National Initiative on Cybersecurity Education (initiative nationale sur l’éducation en cybersécurité) en 2009. La mission de cette organisation coordonnée par la National Institute of Standards and Technology (institut national de normes et de technologie, NIST) est de sensibiliser la nation en matière de cybersécurité, entre autres en déployant des efforts dirigés vers la main-d’œuvre fédérale. Pour commencer, la NICE a dû collaborer avec des experts et des organisations des domaines publics, des agences fédérales et des partenaires de l’industrie afin de concevoir le National Cybersecurity Workforce Framework (cadre de travail national sur la main-d’œuvre en cybersécurité). (À noter que je siège au conseil consultatif de la NICE.)
Le but du cadre de travail sur la main-d’œuvre est de créer une terminologie normalisée qui pourrait servir à « décrire tout le travail et tous les travailleurs en cybersécurité, peu importe l’endroit où le travail est effectué ou l’entité pour laquelle on le fait. » En 2014, la NICE avait divisé le travail de cybersécurité en 31 domaines spécialisés divisés en sept catégories : approvisionnement sécuritaire; opération et maintien; protection et défense; enquête; collecte et opération; analyse; surveillance et croissance. L’étape suivante a consisté à relever les connaissances, les compétences et les habiletés nécessaires pour chaque rôle. Les résultats compilés sont accessibles en divers formats, notamment dans un document PDF de 127 pages muni d’hyperliens, qui permet aux employeurs et aux personnes en recherche d’emploi de consulter une liste des compétences nécessaires pour les différents rôles. Le cadre de travail sur la main-d’œuvre a également été publié sous la forme d’un document de la série 800 de la NIST (800-181).
Le mois dernier, j’ai participé à la 7e conférence annuelle de la NICE, et j’ai appris un tas de choses sur les nouveautés en matière de diplômes, de stages et de compétitions en cybersécurité. Tous ces efforts cumulés visent à combler les lacunes de compétences. Vous pouvez en lire davantage à ce sujet en téléchargeant les textes de la conférence. Le lancement du site Web CyberSeek.org est très important. Ce site fait le lien entre beaucoup des efforts déployés et vaut la peine d’être consulté, peu importe si vous êtes un gestionnaire qui cherche à embaucher ou une personne qui envisage de faire carrière en cybersécurité.
Que peut-on faire?
Si vous êtes un professionnel en cybersécurité qui apprécie ce domaine d’activité, encouragez les autres à joindre nos rangs! Si vous représentez une organisation qui a du mal à embaucher des employés en cybersécurité, je peux vous offrir quelques conseils rapides (je promets de traiter de ce sujet plus longuement l’année prochaine dans un article de suivi). Au cours des 12 derniers mois, j’ai parlé à de nombreuses organisations confrontées à ce problème. Parfois, les difficultés sont d’ordre budgétaire : dans une économie de marché, la rareté fait gonfler les prix. L’emplacement peut aussi être un facteur : les gens qui ont les compétences dont vous avez besoin ne voudront pas nécessairement déménager à l’endroit qui vous convient.
Mon conseil est de miser sur vos forces en tant qu’employeur lorsque vous embauchez, tout en cultivant le talent à l’interne. En quoi le travail au sein de votre entreprise est-il attrayant? Vous vous trouvez peut-être dans un milieu plus rural qu’un quartier branché. Cependant, les professionnels en cybersécurité ne cherchent pas tous un travail dans une grande ville. J’ai l’impression que certains des employés en sécurité les plus dévoués, ceux pour qui le travail est autant une vocation qu’une carrière, pourraient être attirés dans des endroits plus tranquilles, surtout s’ils y trouvent de bonnes options de connexion. Vous pouvez également considérer d’offrir des emplois à distance, ce qui peut convenir à de nombreux rôles en cybersécurité.
Ce qui intéresse probablement le plus les professionnels en cybersécurité actuels et en devenir, c’est votre degré de dévouement envers la sécurité. Une mentalité qui apporte beaucoup d’autres avantages à votre organisation. Faites clairement part de ce dévouement dans vos efforts d’embauche et laissez les candidats savoir que les efforts de sécurité sont favorisés par les directeurs et les gestionnaires de votre entreprise, et que le talent en sécurité est une valeur que tous cultivent.
Puisqu’il faudra du temps avant que portent leurs fruits les efforts actuels visant à combler les lacunes de compétences, les organisations devraient sérieusement envisager de cultiver le talent à l’interne en formant ses propres professionnels en cybersécurité. On trouve une panoplie de formations et de conférences dont les employés pourraient bénéficier, que vous souhaitiez convertir un administrateur de réseau en responsable de la sécurité ou conserver vos employés actuels compétents en cybersécurité (selon mon expérience, envoyer les bons employés aux bons événements constitue un investissement très rentable).
Je conseille également aux gestionnaires en sécurité informatique de collaborer étroitement avec les responsables des ressources humaines lorsqu’ils recherchent le spécialiste en cybersécurité par excellence. Ne présumez pas que les employés des ressources humaines savent comment approcher et dénicher ce type de candidats. Un grand nombre de professionnels en sécurité m’ont confié que les offres d’emploi qui ressemblent à une liste d’épicerie n’ont rien d’attrayant. Aussi, songez bien aux exigences, de grâce. Avez-vous réellement besoin d’un titulaire de CISSP? (J’ai déjà écrit sur la question du CISSP ici.) Vous devriez vous concentrer sur le travail que les candidats ont réalisé par le passé, et non sur des bouts de papier. Certaines des meilleures embauches à long terme pourraient être des personnes qui n’ont pas de diplôme ni de certification, mais qui les acquièrent en travaillant pour vous.
