Malgré de récentes nouvelles positives concernant les embauches dans le secteur IT après une année 2023 compliquée, la pénurie croissante de talents dans le domaine de la cybersécurité menace de paralyser les entreprises. Les données de CyberSeek montrent qu'aux États-Unis, quelque 265 000 employés supplémentaires dans le domaine de la cybersécurité sont nécessaires pour répondre aux besoins actuels en matière de personnel. CyberSeek est un outil d'analyse et d'agrégation de données issu d'une collaboration entre Lightcast, fournisseur de données et d'analyses sur le marché mondial du travail, NICE, programme de l'Institut national des normes et de la technologie visant à promouvoir l'éducation et le développement de la main-d'œuvre en cybersécurité, et CompTIA, groupe de certification et de formation dans le domaine des technologies de l'information. Selon CyberSeek, il y a juste assez de main-d'oeuvre pour répondre à 83 % des emplois disponibles dans le domaine de la cybersécurité aux États-Unis. Alors que la demande d'emplois dans le domaine de la cybersécurité s'est stabilisée à des niveaux antérieurs à la pandémie, les changements technologiques induits par l'IA modifient le paysage professionnel pour les professionnels de la sécurité.
« Les exigences en matière de compétences évoluent tellement rapidement que de nombreuses personnes ne peuvent suivre, ce qui entraîne une fois de plus l'élargissement du fossé des talents en matière de cybersécurité », a déclaré Will Markow, vice-président de la recherche appliquée chez Lightcast, dans un communiqué. On estime à 1,25 million le nombre de professionnels travaillant dans le domaine de la cybersécurité aux États-Unis, et les offres d'emploi pour des postes en cybersécurité se sont élevées à plus de 457 000 entre septembre 2023 et août 2024, selon Cyberseek. « Réduire l'écart entre l'offre et la demande de talents en cybersécurité est un défi important et une opportunité prometteuse », a déclaré Amy Kardel, vice-présidente de la stratégie et du développement de CompTIA, dans un communiqué. « Il faut pour cela changer de mentalité et d'approche, comprendre qu'il existe de nombreuses voies d'accès à l'emploi, rechercher des candidats qui arrivent sur le marché du travail par d'autres voies, et mettre davantage l'accent sur la revalorisation et l'amélioration des compétences des employés actuels.
Le fossé se creuse aussi à l'échelle mondiale
La pénurie de compétences en matière de sécurité n'est pas l'apanage des États-Unis. Selon les données de l'étude 2024 Cybersecurity Workforce Study de l'ISC2 Research, le fossé des compétences en matière de cybersécurité continue de se creuser à l'échelle mondiale. L'ISC2 Research a interrogé quelque 15 852 professionnels et décideurs en matière de cybersécurité dans le monde, en recevant des réponses d'Afrique, d'Asie-Pacifique, d'Europe, d'Amérique latine, du Moyen-Orient et d'Amérique du Nord, et a constaté que le volume de la main-d'œuvre dans le domaine de la cybersécurité restait pratiquement inchangé. Cela signifie que les postes existants n'ont peut-être pas été supprimés dans le cadre des efforts de réduction des coûts, mais que les préoccupations économiques et autres ont « annulé toute nouvelle croissance nette de l'emploi ». La diminution du nombre de nouvelles offres d'emploi dans le domaine de la cybersécurité montre que les possibilités d'embauche et de promotion des talents en matière de sécurité ont probablement été réduites au cours de l'année écoulée. « Elle met également en évidence une pénurie préoccupante de points d'entrée pour les nouveaux talents et un manque d'opportunités pour remédier aux pénuries de compétences et de personnel de ses nouveaux professionnels et au manque de formation dans leur carrière », indique le rapport. L'enquête de l'ISC2 a révélé que 90 % des entreprises ont déclaré avoir des lacunes en matière de compétences au sein de leurs équipes de sécurité.
L'étude de l'ISC2 sur la main-d'œuvre dans le domaine de la cybersécurité pour 2024 fait état d'un manque de compétences dans les domaines suivants :
- Intelligence artificielle/apprentissage automatique : 34 % ;
- Sécurité de l'informatique cloud : 30 % ;
- Mise en œuvre de l'architecture/solutions zero trust : 27% ;
- Forensics et réponse aux incidents : 25% ;
- Sécurité applicative : 24 % ;
- Pentesting : 24 % ;
- Analyse des renseignements sur les menaces : 20 % ;
- Ingénierie de la sécurité : 20 % ;
- Recherche/analyse de logiciels malveillants : 20 % ;
- Gouvernance, risques et conformité : 20 % ;
- SecOps : 20 % ;
- Évaluation, analyse et gestion des risques : 19 % ;
- Analyse de la sécurité : 18 %.
L'ISC2 Research recommande aux employeurs de trouver des moyens d'attirer de nouvelles personnes vers la cybersécurité avec des attentes réalistes et un développement professionnel en cours de carrière. Selon le rapport, il est essentiel, compte tenu de la pénurie de compétences, d'adopter une stratégie de recrutement basée sur un éventail diversifié de personnes et de compétences, et de ne pas se contenter de personnes préqualifiées. « Il incombe aux employeurs de remédier à cette disparité par une meilleure communication des besoins et une rationalisation des attentes (ne pas s'attendre à ce que les professionnels aient déjà des années d'expérience irréalisables et des certifications industrielles dans une discipline récente comme l'IA, par exemple) », préconise l'organisme.
Mon fils est en dernière année ingénieur cybersecurite....on arrive pas a trouver un stage ...et les offres d'emploi ...y en a mais il faut 5 ans d expérience.. cherchez l erreur
Signaler un abusIl n’y a pas suffisamment d’entreprises qui font l’effort de former les jeunes, qu’elles ne soient pas surprise ....
Signaler un abusMon fils cherche une alternance en cyber sécurité en Bretagne depuis plusieurs mois, les entreprises ne prennent même pas la peine de répondre.
"90% des offres d'emploi pour des postes junior et debut de carrière demandent des certifications accesibles avec 10 ans de carriere"
Signaler un abusCe n'est pas nouveau.
Etant un vieux con, j'ai le souvenir d'avoir vu passer des offres d'emploi Java demandant 5 ans d'expérience quand Java avait 3 ans d'existence.
Idem pour C#.
Attendre des employeurs des objectifs réalistes en matière d'expérience et de certification ?
Signaler un abusJ'ai bien peur que ce soit utopique.
J'ignore ce qu'il en est dans le reste du monde, mais en France, c'est pour l'instant inimaginable.
Les recommandations de (ISC)2 sont pertinentes. 90% des offres d'emploi pour des postes junior et debut de carrière demandent des certifications accesibles avec 10 ans de carriere, ce qui est totalement irréaliste. De plus les certifications demandées sont souvent déconnectées des taches proposées par le poste. On comprend vite que les offres sont rédigées par des HR qui ne connaissent pas le metier et ajoutent des trucs trouvés avec google ou chatgpt... au final on se retrouve avec des postes non pourvus et des tas de jeunes diplômés en cybersecurite qui se rabattent sur des postes qui ne les interessent pas. Donc oui, les entreprises ont intérêt a recoir leurs attentes et a proposer des plans de carrières realistes.
Signaler un abus