Comment les entreprises peuvent-elles combler le déficit de compétences en matière de cybersécurité ?

Vishal Salvi, Chief Information Security Officer & Head of Cybersecurity Practice – Infosys nous livre son expertise.

Cette situation survient à une phase charnière pour les entreprises, où les cyber attaques augmentent à un rythme alarmant. Selon l’étude 2021 (ISC)² Cybersecurity Workforce Study, 2,72 millions de postes de cybersécurité sont actuellement non pourvus. Cette même étude révèle que la main-d’œuvre mondiale en cybersécurité doit augmenter de 65 % pour défendre efficacement les actifs critiques des entreprises.

Alors que le monde est confronté à cette pénurie depuis au moins une décennie, la pandémie a une nouvelle fois souligné la nécessité de disposer d’une main-d’œuvre plus spécialisée. Mais comment combler le déficit de compétences en matière de cybersécurité ?

1. Identifier le déficit de compétences

La première étape pour résoudre un problème est de le comprendre. Les lacunes en matière de compétences peuvent être identifiées en effectuant une analyse complète des besoins en formations. Une approche qui s’avère clé pour comprendre les besoins en formation, apprentissage et développement des collaborateurs. L’analyse doit avant tout prendre en compte les besoins organisationnels, les compétences actuelles, les méthodes de formation, le coût et l’efficacité.

Le déficit de compétences n’est pas seulement lié à la pénurie actuelle de talents, il s’agit également d’un manque de capacités requises pour effectuer un travail lié à la cybersécurité. Cela peut impliquer la collaboration, la compréhension de la complexité du paysage, l’application de processus, de technologies et de contrôles de cybersécurité pour résoudre des problèmes de cybersécurité spécifiques.

Pour monter en compétences, nous devons comprendre les connaissances, le savoir-faire et les aptitudes requis pour chaque poste et les développer. Nous devons également nous référer aux rôles professionnels définis par l’initiative nationale pour l’éducation à la cybersécurité (NICE) afin de mieux comprendre la spécialisation des compétences en cybersécurité.

2. Appliquer des leviers spécifiques pour combler le gap

Plusieurs leviers peuvent être appliqués pour combler le déficit de compétences en cybersécurité.

a. Recruter les jeunes talents et les former

Un rapport a révélé qu’un jeune professionnel sur quatre envisage une carrière dans la cybersécurité. Cependant, nombre d’entre eux sont tentés d’utiliser leurs compétences autrement que de les prévenir et de les contrer. Il est donc essentiel de créer des politiques de spécialisation et d’attraction des talents afin d’attirer les talents les plus brillants sur les campus. Cela est rendu possible par l’institutionnalisation, l’évangélisation et la création de sessions de sensibilisation à la cybersécurité dans les universités. L’introduction d’un programme d’études adapté au secteur peut aider les entreprises à passer à la vitesse supérieure. Le déploiement de hackathons pour recruter des talents capables d’enquêter sur des problèmes complexes de cybersécurité, de s’en défendre et de les exploiter, ainsi que de créer des plates-formes à l’aide des nouvelles technologies, est une excellente option à envisager.

b. Accompagnement du personnel informatique existant

Le remaniement pour la cybersécurité nécessite une stratégie. Tout le monde ne peut pas être remanié ; seuls ceux qui ont des compétences liées à la cybersécurité peuvent être qualifiés, avec une formation et les connaissances réseau, UNIX, Python, Java ou en science des données.

Informer les employés sur les derniers renseignements quant aux menaces et des dernières méthodes d’attaque peut atténuer l’anxiété causée par l’incertitude en matière de cybersécurité. Cela permettra d’améliorer les compétences des employés existants – en les perfectionnant pour rester pertinents et en les recyclant pour rester compétitifs.

c. Élaborer des solutions sophistiquées pour réduire la dépendance aux compétences

Combler le gap des compétences ne signifie pas toujours développer les compétences des collaborateurs. Il est également possible de mettre au point un ensemble d’outils d’automatisation sophistiqués qui peuvent soulager l’ingénieur en sécurité de la plupart des tâches de gestion des systèmes. Il s’agit de l’approche « Zero-Touch », qui permet aux équipes informatiques de déployer des périphériques réseau à grande échelle, tout en éliminant la majeure partie du travail manuel et en réduisant la dépendance vis-à-vis des compétences.

La mise en œuvre du « Zero Trust » dans le cloud/edge permet de gérer les actifs critiques, de réduire la surface d’attaque et de fournir une visibilité omniprésente sans trop d’efforts manuels.

3. S’engager auprès des travailleurs indépendants

Les travailleurs indépendants occupent le devant de la scène. Les recruter par le biais de processus de recrutement basés sur le jeu et la simulation devient ainsi un moyen de combler le déficit de compétences en cybersécurité.

Alors que nous faisons face à des cyber-menaces toujours plus différentes et complexes, il est important de disposer d’équipes capables de se réinventer. Les équipes très diversifiées favorisent la créativité. Et pourtant, les femmes aujourd’hui ne représentent que 25 % de la main-d’œuvre en cybersécurité… Les entreprises doivent créer un environnement permettant de retenir, de former et d’offrir des options d’évolution de carrière attrayantes aux jeunes professionnels.

En définitive, les organisations doivent reconnaître que la cybersécurité ne peut jamais atteindre un état d’équilibre ; il s’agit d’un processus en continu. Tout comme les scientifiques doivent toujours être prêts à faire face à chaque nouvelle variante de Covid-19, les entreprises se doivent d’être en mesure d’affronter la prochaine cyberattaque. Pour y parvenir, les objectifs organisationnels, la formation et les budgets de compétences doivent être alignés.