BLOG | BUREAU DU CTO

Repenser la pénurie de talents en cybersécurité

Miniature de Sam Bisbee
Sam Bisbee
Publié le 20 octobre 2022

Les discussions actuelles sur la pénurie de talents en cybersécurité génèrent de l’activité mais des résultats limités. Il est rare qu’une semaine se passe sans qu’un autre article, une autre étude ou un autre fil de discussion amplifié sur les réseaux sociaux déplorant la crise. Les offres d'emploi de niveau débutant ont des exigences de licorne inaccessibles pour une rémunération inférieure à celle du marché, les candidats ont des attentes déraisonnables quant à ce qu'ils feront pendant leur première année après l'université, et les changements d'emploi et l'épuisement professionnel continuent de s'accompagner du marché du travail technique au sens large. Entre-temps, les universités, les accélérateurs et les programmes de mentorat ont saisi cette opportunité de marché et acheminent sur le marché plus de talents « spécialement conçus » que jamais auparavant, souvent avec la promesse d’une demande croissante pour leurs compétences dans une carrière « passionnante et lucrative ». Le marché des talents devrait signaler une correction compte tenu de l’attention et des investissements qu’il reçoit depuis des années, mais selon la plupart des estimations, ce n’est pas le cas.

Il s’agit d’un problème existentiel en matière de sécurité, car si la technologie joue un rôle essentiel dans la fourniture de solutions nouvelles et plus efficaces aux programmes de sécurité, la capacité d’un programme de sécurité à évaluer, investir et opérationnaliser ces technologies dépend de la disponibilité de personnes qualifiées aux bons postes. Les fournisseurs de technologie et de sécurité ont devancé le marché, offrant chaque année de plus grandes avancées qui nécessitent des investissements plus importants de la part des clients qui ont du mal à conserver leurs talents et à suivre le rythme de la prolifération technologique. Cette tendance est atténuée par la tendance continue des fournisseurs de sécurité à proposer des services gérés regroupés avec leurs produits, rendant leurs offres opérationnelles pour les clients de manière immédiate et rentable, au bénéfice des deux parties. Cependant, l’entreprise doit toujours relever le défi de rationaliser ces investissements et de réévaluer en permanence la couverture à mesure que son environnement évolue, ce qui nécessite une expertise même s’il ne s’agit que d’une petite équipe de sécurité gérant un programme entièrement composé de services gérés.

Même si les blagues macabres sur le « responsable de la sécurité malsain et stressé qui ne dort jamais » restent vraies, ce sont rarement les acteurs de la menace avancée ou les intrigues hollywoodiennes qui empêchent de dormir. Il s’agit de questions humaines telles que : l’équipe va-t-elle bien, a-t-elle ce dont elle a besoin, les bonnes personnes occupent-elles les bons postes, quels nouveaux postes ou quelles nouvelles personnes sont nécessaires, la crédibilité de l’équipe auprès des organisations homologues, la crédibilité du leader auprès de ses pairs exécutifs, etc. Il s’agit du prix du leadership, qui ne se limite pas au leadership en matière de sécurité. Cela va à l’encontre du discours du marché et les gens sont surpris lorsque je leur dis que je vois plus souvent des responsables de la sécurité se recommander mutuellement des livres sur les affaires et la gestion que des livres techniques ou sur la sécurité. Oui, il y a des discussions sur la dernière violation médiatisée ou sur la façon dont les pairs résolvent les problèmes techniques, mais il y a un enthousiasme égal ou supérieur à l’idée de partager un nouveau processus, une nouvelle structure d’équipe ou une nouvelle méthode de communication qui a réussi.

Nous sommes confrontés à une pénurie de compétences et de leadership en matière de sécurité, et non à une pénurie plus large de talents en matière de sécurité. Cela ralentit la correction générale du marché des talents en matière de sécurité que nous devons observer pour accroître la résilience de toutes les entreprises, et pas seulement dans les silos traditionnels des programmes de sécurité à 1 %. Par exemple:

  • Le vivier en croissance rapide de talents de sécurité débutants ne peut être exploité avec un retour positif que si les dirigeants sont en place pour reconnaître et développer ces talents. Cela est particulièrement important car de nombreux professionnels en début ou en milieu de carrière dans des domaines parallèles souhaitent réorienter leur carrière vers la sécurité, offrant ainsi un vivier de talents plus large avec une plus grande maturité sur le lieu de travail.
  • Le programme de sécurité ne devrait être autorisé à se développer que s’il peut s’intégrer dans le contexte de l’entreprise pour permettre et contribuer à son succès, ce qui nécessite une compréhension commerciale et des compétences en communication plus larges que celles généralement attendues d’un responsable de domaine profond. Le programme et son efficacité sont limités sans ces capacités.
  • Les contributeurs individuels de qualité de niveau intermédiaire et supérieur seront plus susceptibles d'être attirés par un leader empathique qui élabore un programme avec une vision pour les préparer au succès au sein de l'entreprise, et non pas être perturbés de manière réactive par les incendies et le battage médiatique pour créer un énième « Bureau d'acceptation des risques ». Vous avez besoin d’une diversité de responsabilités et d’ancienneté pour le travail de l’équipe, mais aussi pour encadrer et aider à développer les talents juniors. Le responsable de la sécurité ne doit pas faire cela seul, surtout à mesure que le programme prend de l’ampleur.
  • Une fois que l’organisation de sécurité sera en mesure de maintenir des talents de niveau junior, intermédiaire et senior sans procéder à des renouvellements trop fréquents, de nouvelles opportunités émergeront. Une organisation durable peut commencer à cibler de manière opportuniste les talents dotés de compétences avancées et spécialisées à mesure que son organisation se rapproche du statut de « 1 % ». Les praticiens expérimentés dotés de compétences telles que la sécurité des application et du cloud, la recherche et la modélisation des menaces continueront d’être rares jusqu’à ce que cette agriculture de talents plus large produise de tels praticiens.

Au cours des cinq dernières années, nous avons constaté des progrès dans le renforcement du rôle exécutif des responsables de la sécurité dans l'entreprise, stimulés par la réglementation, une vague de dépenses des entreprises dans les tendances technologiques telles que l'open source, le cloud et l'utilisation de votre propre appareil, une activité de ransomware en plein essor, ainsi qu'une mauvaise gestion des données et des pratiques dangereuses de grande envergure de la part des gestionnaires de données des entreprises. Cela rappelle la progression que les entreprises ont connue avec leurs dirigeants financiers après l’adoption de la loi Sarbanes-Oxley (SOX) en réponse à des scandales financiers et d’entreprise de grande envergure, élevant leur point de vue unique au sein de la haute direction et du conseil d’administration. Les mesures adoptées dans le domaine de la sécurité n’ont pas encore atteint la rigueur de la loi SOX. Les deux prochaines années nous diront si les progrès des responsables de la sécurité se poursuivent, soutenus par l’expansion mondiale continue des réglementations en matière de sécurité et de confidentialité et par l’attention des conseils d’administration, ou s’ils ralentissent ou s’inversent alors que le climat macroéconomique pousse les entreprises à réévaluer leurs investissements en matière de technologie et de sécurité.

Si l’on répète l’histoire, une décélération ou un retour en arrière est probable puisque les investissements des entreprises en matière de sécurité et de sûreté sont généralement corrélés aux conditions du marché, même si leurs impacts ne sont généralement pas corrélés. Un exemple de cette asymétrie est que les budgets des défenseurs diminuent avec le chiffre d’affaires ou le résultat net de l’entreprise, ce qui peut être raisonnable (responsabilité fiduciaire), mais le financement et les incitations des attaquants ne le font pas. Le problème est que cela se produirait alors que la définition du rôle des responsables de la sécurité, la responsabilité des entreprises et la responsabilité personnelle sont examinées publiquement. Il est raisonnable de s’attendre à ce qu’un certain pourcentage de responsables de la sécurité abandonneront l’entreprise ou le poste si un ralentissement ou un retour en arrière est aggravé par des réponses indésirables à ces questions, aggravant ainsi la pénurie de dirigeants en matière de sécurité et se répercutant sur le vivier plus large de talents en matière de sécurité. Les responsables de la sécurité et leurs entreprises devraient se donner la peine de discuter de ces défis maintenant, et non pas lorsque les vents contraires sont les plus forts, afin de comprendre comment le rôle et l’organisation des dirigeants de la sécurité peuvent évoluer et ce que cela signifie pour la durabilité du programme et de ses collaborateurs.