La situation s’aggrave sur le front de l’emploi dans la cybersécurité. Selon une étude, la pénurie de main d’œuvre atteint un niveau record de 4 millions de personnes, alors que les effectifs dans ce domaine ont augmenté de près de 10% au cours de l’année écoulée. C'est ce qui ressort de la dernière étude « Cybersecurity Workforce Study », réalisée par l'ISC2, une organisation à but non lucratif qui propose des formations et délivre des certifications à des professionnels de la cybersécurité.
D’après cette étude, l'écart entre le nombre de personnes nécessaires et celui de personnes disponibles a augmenté de 12,6 % d'une année sur l'autre, essentiellement du fait d’une réduction des effectifs, de l'incertitude économique, de l'intelligence artificielle (IA) et d’un environnement de la menace difficile. Selon l'ISC2, le déficit actuel de main-d'œuvre au niveau mondial est estimé à 3 999 964, tandis que la main-d'œuvre elle-même est estimée à 5 452 732.
Des plans sociaux impactant les équipes de cybersécurité
Deux tiers (67 %) des 14 865 professionnels de la cybersécurité interrogés ont déclaré que leur entreprise manquait du personnel nécessaire pour prévenir et résoudre les problèmes de sécurité. Un paradoxe au moment où 47% des sondés ont subi des réductions d'effectifs en lien avec le domaine, 22 % d'entre eux ayant été touchés par des licenciements. Près de la moitié des personnes interrogées ont déclaré que les réductions ont affecté leur équipe de sécurité de manière disproportionnée par rapport au reste de leur entreprise, 71 % d'entre elles ayant subi un impact négatif sur leur charge de travail et 57 % ayant vu leur capacité à répondre aux menaces de cybersécurité affectée en conséquence.
Les secteurs du divertissement (33 %), de la construction (31 %) et de l'automobile (29 %) ont été particulièrement touchés par les licenciements dans le domaine de la cybersécurité. Les secteurs de l'armée et des fournisseurs militaires (8 %), du gouvernement (9 %) et de l'éducation (13 %) ont été les moins touchés. Sur le plan géographique, c'est en Amérique latine (Brésil et Mexique) que les licenciements ont été les plus nombreux, suivie du Nigeria et des Émirats arabes unis. Les pays où les licenciements sont les moins nombreux sont Hong Kong, les États-Unis et l'Arabie saoudite.
Un déficit de compétences pire que la pénurie de main d’oeuvre
L’étude de l’ICS2 soulève un point critique sur la problématique du manque de personnel. En effet, plus de la moitié des sondés (59%) jugent que les lacunes de compétences sont plus préjudiciables que la pénurie de main d’œuvre. Les équipes de sécurité ont besoin d’expertise et de spécialisation pour fonctionner correctement. Parmi les plus recherchées, il y a la sécurité du cloud, l'IA/ML et la mise en œuvre du zero trust. Selon le rapport, l'incapacité à trouver des personnes possédant les bonnes compétences (44 %), la difficulté à garder les personnes possédant des compétences en demande (42 %) et le manque de budget pour embaucher des personnes (41 %) expliquent principalement ces lacunes en matière de compétences.
De plus, les licenciements semblent avoir un effet plus important sur les lacunes en matière de compétences que sur les pénuries totales de personnel. Selon l'ISC2, la plupart des entreprises qui ont procédé à des licenciements dans le domaine de la cybersécurité (51 %) ont été affectées par une ou plusieurs lacunes importantes en matière de compétences, contre seulement 39 % des entreprises qui n'ont pas procédé à des suppressions de poste. Il est intéressant de noter que 58 % des sondés ont déclaré que l'impact négatif de la pénurie de main-d'œuvre peut être atténué en comblant les lacunes en matière de compétences clés.
Un moral en léger retrait et une diversité revendiquée
Selon le rapport, les entreprises se concentrent sur des stratégies visant à remédier à la pénurie de personnel et de compétences en cybersécurité à laquelle elles sont confrontées. Investir dans la formation (72 %), offrir des conditions de travail plus souples (69 %), investir dans des initiatives de diversité, d'équité et d'inclusion (DEI), recruter, embaucher et intégrer de nouveaux employés (67 %) et utiliser la technologie pour automatiser certains aspects du travail de sécurité (65 %) sont autant de priorités citées dans le rapport. Malgré de réelles turbulences, les personnes travaillant dans la cybersécurité « semblent assez satisfaites de leur rôle », fait remarquer l'ISC2. Près des trois quarts d'entre eux (70 %) se déclarent plutôt ou très satisfaits de leur travail, en baisse de 4 % par rapport à l'année dernière, et 82 % affirment qu'ils travaillent bien avec les membres de l'équipe de sécurité.
Les données montrent également que la composition de la main-d'œuvre en cybersécurité évolue tant sur le plan du sexe que de la race ou de l'origine ethnique. Les professionnels du secteur accordent une grande importance à la diversité de leur personnel, 69 % d'entre eux déclarant qu'un environnement inclusif est essentiel à la réussite de leur équipe et 65 % déclarant qu'il est important que leur équipe de sécurité soit diversifiée. Plus de la moitié des personnes interrogées (57 %) ont déclaré que la diversité, l'équité et l'inclusion gagnera en importance pour leur équipe au cours des cinq prochaines années. « Alors que nous nous réjouissons du nombre record de recrutement dans la cybersécurité, la réalité urgente est que nous devons doubler cette main-d'œuvre pour protéger efficacement les entreprises et leurs actifs critiques », a déclaré Clar Rosso, CEO de l'ISC2. « Dans le paysage actuel des menaces, qui est le plus complexe et le plus sophistiqué qu'il ait jamais été, les défis croissants auxquels sont confrontés les professionnels de la cybersécurité soulignent l'urgence de notre message : les entreprises doivent investir dans leurs équipes, à la fois en termes de nouveaux talents et de personnel existant, en les dotant des compétences essentielles pour faire face à un paysage des menaces en constante évolution ».