Les discussions actuelles sur la pénurie de talents en cybersécurité génèrent de l’activité mais des résultats limités. Il est rare qu’une semaine se passe sans qu’un autre article, une autre étude ou un autre fil de discussion amplifié sur les réseaux sociaux déplorant la crise. Les offres d'emploi de niveau débutant ont des exigences de licorne inaccessibles pour une rémunération inférieure à celle du marché, les candidats ont des attentes déraisonnables quant à ce qu'ils feront pendant leur première année après l'université, et les changements d'emploi et l'épuisement professionnel continuent de s'accompagner du marché du travail technique au sens large. Entre-temps, les universités, les accélérateurs et les programmes de mentorat ont saisi cette opportunité de marché et acheminent sur le marché plus de talents « spécialement conçus » que jamais auparavant, souvent avec la promesse d’une demande croissante pour leurs compétences dans une carrière « passionnante et lucrative ». Le marché des talents devrait signaler une correction compte tenu de l’attention et des investissements qu’il reçoit depuis des années, mais selon la plupart des estimations, ce n’est pas le cas.
Il s’agit d’un problème existentiel en matière de sécurité, car si la technologie joue un rôle essentiel dans la fourniture de solutions nouvelles et plus efficaces aux programmes de sécurité, la capacité d’un programme de sécurité à évaluer, investir et opérationnaliser ces technologies dépend de la disponibilité de personnes qualifiées aux bons postes. Les fournisseurs de technologie et de sécurité ont devancé le marché, offrant chaque année de plus grandes avancées qui nécessitent des investissements plus importants de la part des clients qui ont du mal à conserver leurs talents et à suivre le rythme de la prolifération technologique. Cette tendance est atténuée par la tendance continue des fournisseurs de sécurité à proposer des services gérés regroupés avec leurs produits, rendant leurs offres opérationnelles pour les clients de manière immédiate et rentable, au bénéfice des deux parties. Cependant, l’entreprise doit toujours relever le défi de rationaliser ces investissements et de réévaluer en permanence la couverture à mesure que son environnement évolue, ce qui nécessite une expertise même s’il ne s’agit que d’une petite équipe de sécurité gérant un programme entièrement composé de services gérés.
Même si les blagues macabres sur le « responsable de la sécurité malsain et stressé qui ne dort jamais » restent vraies, ce sont rarement les acteurs de la menace avancée ou les intrigues hollywoodiennes qui empêchent de dormir. Il s’agit de questions humaines telles que : l’équipe va-t-elle bien, a-t-elle ce dont elle a besoin, les bonnes personnes occupent-elles les bons postes, quels nouveaux postes ou quelles nouvelles personnes sont nécessaires, la crédibilité de l’équipe auprès des organisations homologues, la crédibilité du leader auprès de ses pairs exécutifs, etc. Il s’agit du prix du leadership, qui ne se limite pas au leadership en matière de sécurité. Cela va à l’encontre du discours du marché et les gens sont surpris lorsque je leur dis que je vois plus souvent des responsables de la sécurité se recommander mutuellement des livres sur les affaires et la gestion que des livres techniques ou sur la sécurité. Oui, il y a des discussions sur la dernière violation médiatisée ou sur la façon dont les pairs résolvent les problèmes techniques, mais il y a un enthousiasme égal ou supérieur à l’idée de partager un nouveau processus, une nouvelle structure d’équipe ou une nouvelle méthode de communication qui a réussi.
Nous sommes confrontés à une pénurie de compétences et de leadership en matière de sécurité, et non à une pénurie plus large de talents en matière de sécurité. Cela ralentit la correction générale du marché des talents en matière de sécurité que nous devons observer pour accroître la résilience de toutes les entreprises, et pas seulement dans les silos traditionnels des programmes de sécurité à 1 %. Par exemple:
Au cours des cinq dernières années, nous avons constaté des progrès dans le renforcement du rôle exécutif des responsables de la sécurité dans l'entreprise, stimulés par la réglementation, une vague de dépenses des entreprises dans les tendances technologiques telles que l'open source, le cloud et l'utilisation de votre propre appareil, une activité de ransomware en plein essor, ainsi qu'une mauvaise gestion des données et des pratiques dangereuses de grande envergure de la part des gestionnaires de données des entreprises. Cela rappelle la progression que les entreprises ont connue avec leurs dirigeants financiers après l’adoption de la loi Sarbanes-Oxley (SOX) en réponse à des scandales financiers et d’entreprise de grande envergure, élevant leur point de vue unique au sein de la haute direction et du conseil d’administration. Les mesures adoptées dans le domaine de la sécurité n’ont pas encore atteint la rigueur de la loi SOX. Les deux prochaines années nous diront si les progrès des responsables de la sécurité se poursuivent, soutenus par l’expansion mondiale continue des réglementations en matière de sécurité et de confidentialité et par l’attention des conseils d’administration, ou s’ils ralentissent ou s’inversent alors que le climat macroéconomique pousse les entreprises à réévaluer leurs investissements en matière de technologie et de sécurité.
Si l’on répète l’histoire, une décélération ou un retour en arrière est probable puisque les investissements des entreprises en matière de sécurité et de sûreté sont généralement corrélés aux conditions du marché, même si leurs impacts ne sont généralement pas corrélés. Un exemple de cette asymétrie est que les budgets des défenseurs diminuent avec le chiffre d’affaires ou le résultat net de l’entreprise, ce qui peut être raisonnable (responsabilité fiduciaire), mais le financement et les incitations des attaquants ne le font pas. Le problème est que cela se produirait alors que la définition du rôle des responsables de la sécurité, la responsabilité des entreprises et la responsabilité personnelle sont examinées publiquement. Il est raisonnable de s’attendre à ce qu’un certain pourcentage de responsables de la sécurité abandonneront l’entreprise ou le poste si un ralentissement ou un retour en arrière est aggravé par des réponses indésirables à ces questions, aggravant ainsi la pénurie de dirigeants en matière de sécurité et se répercutant sur le vivier plus large de talents en matière de sécurité. Les responsables de la sécurité et leurs entreprises devraient se donner la peine de discuter de ces défis maintenant, et non pas lorsque les vents contraires sont les plus forts, afin de comprendre comment le rôle et l’organisation des dirigeants de la sécurité peuvent évoluer et ce que cela signifie pour la durabilité du programme et de ses collaborateurs.