Malgré de récentes nouvelles positives concernant les embauches dans le secteur IT après une année 2023 compliquée, la pénurie croissante de talents dans le domaine de la cybersécurité menace de paralyser les entreprises. Les données de CyberSeek montrent qu'aux États-Unis, quelque 265 000 employés supplémentaires dans le domaine de la cybersécurité sont nécessaires pour répondre aux besoins actuels en matière de personnel. CyberSeek est un outil d'analyse et d'agrégation de données issu d'une collaboration entre Lightcast, fournisseur de données et d'analyses sur le marché mondial du travail, NICE, programme de l'Institut national des normes et de la technologie visant à promouvoir l'éducation et le développement de la main-d'œuvre en cybersécurité, et CompTIA, groupe de certification et de formation dans le domaine des technologies de l'information. Selon CyberSeek, il y a juste assez de main-d'oeuvre pour répondre à 83 % des emplois disponibles dans le domaine de la cybersécurité aux États-Unis. Alors que la demande d'emplois dans le domaine de la cybersécurité s'est stabilisée à des niveaux antérieurs à la pandémie, les changements technologiques induits par l'IA modifient le paysage professionnel pour les professionnels de la sécurité.
« Les exigences en matière de compétences évoluent tellement rapidement que de nombreuses personnes ne peuvent suivre, ce qui entraîne une fois de plus l'élargissement du fossé des talents en matière de cybersécurité », a déclaré Will Markow, vice-président de la recherche appliquée chez Lightcast, dans un communiqué. On estime à 1,25 million le nombre de professionnels travaillant dans le domaine de la cybersécurité aux États-Unis, et les offres d'emploi pour des postes en cybersécurité se sont élevées à plus de 457 000 entre septembre 2023 et août 2024, selon Cyberseek. « Réduire l'écart entre l'offre et la demande de talents en cybersécurité est un défi important et une opportunité prometteuse », a déclaré Amy Kardel, vice-présidente de la stratégie et du développement de CompTIA, dans un communiqué. « Il faut pour cela changer de mentalité et d'approche, comprendre qu'il existe de nombreuses voies d'accès à l'emploi, rechercher des candidats qui arrivent sur le marché du travail par d'autres voies, et mettre davantage l'accent sur la revalorisation et l'amélioration des compétences des employés actuels.
Le fossé se creuse aussi à l'échelle mondiale
La pénurie de compétences en matière de sécurité n'est pas l'apanage des États-Unis. Selon les données de l'étude 2024 Cybersecurity Workforce Study de l'ISC2 Research, le fossé des compétences en matière de cybersécurité continue de se creuser à l'échelle mondiale. L'ISC2 Research a interrogé quelque 15 852 professionnels et décideurs en matière de cybersécurité dans le monde, en recevant des réponses d'Afrique, d'Asie-Pacifique, d'Europe, d'Amérique latine, du Moyen-Orient et d'Amérique du Nord, et a constaté que le volume de la main-d'œuvre dans le domaine de la cybersécurité restait pratiquement inchangé. Cela signifie que les postes existants n'ont peut-être pas été supprimés dans le cadre des efforts de réduction des coûts, mais que les préoccupations économiques et autres ont « annulé toute nouvelle croissance nette de l'emploi ». La diminution du nombre de nouvelles offres d'emploi dans le domaine de la cybersécurité montre que les possibilités d'embauche et de promotion des talents en matière de sécurité ont probablement été réduites au cours de l'année écoulée. « Elle met également en évidence une pénurie préoccupante de points d'entrée pour les nouveaux talents et un manque d'opportunités pour remédier aux pénuries de compétences et de personnel de ses nouveaux professionnels et au manque de formation dans leur carrière », indique le rapport. L'enquête de l'ISC2 a révélé que 90 % des entreprises ont déclaré avoir des lacunes en matière de compétences au sein de leurs équipes de sécurité.
L'étude de l'ISC2 sur la main-d'œuvre dans le domaine de la cybersécurité pour 2024 fait état d'un manque de compétences dans les domaines suivants :
- Intelligence artificielle/apprentissage automatique : 34 % ;
- Sécurité de l'informatique cloud : 30 % ;
- Mise en œuvre de l'architecture/solutions zero trust : 27% ;
- Forensics et réponse aux incidents : 25% ;
- Sécurité applicative : 24 % ;
- Pentesting : 24 % ;
- Analyse des renseignements sur les menaces : 20 % ;
- Ingénierie de la sécurité : 20 % ;
- Recherche/analyse de logiciels malveillants : 20 % ;
- Gouvernance, risques et conformité : 20 % ;
- SecOps : 20 % ;
- Évaluation, analyse et gestion des risques : 19 % ;
- Analyse de la sécurité : 18 %.
L'ISC2 Research recommande aux employeurs de trouver des moyens d'attirer de nouvelles personnes vers la cybersécurité avec des attentes réalistes et un développement professionnel en cours de carrière. Selon le rapport, il est essentiel, compte tenu de la pénurie de compétences, d'adopter une stratégie de recrutement basée sur un éventail diversifié de personnes et de compétences, et de ne pas se contenter de personnes préqualifiées. « Il incombe aux employeurs de remédier à cette disparité par une meilleure communication des besoins et une rationalisation des attentes (ne pas s'attendre à ce que les professionnels aient déjà des années d'expérience irréalisables et des certifications industrielles dans une discipline récente comme l'IA, par exemple) », préconise l'organisme.