5 mesures que nous pouvons prendre pour remédier à la pénurie de cybercompétences

Selon le rapport de recherche que vous lisez, nous avons une pénurie d’environ 3,4 millions ou 3,5 millions d’individus dans le monde.². Mais nous ne sommes pas le seul secteur à manquer de talents. L’industrie médicale, par exemple, est confrontée à une pénurie de plus de 10 millions de médecins dans le monde.³. La pénurie de compétences crée bien entendu des défis. Selon l’ISACA, 60 % des organisations ont du mal à retenir leurs employés et 62 % déclarent que leurs équipes fonctionnent avec un déficit de talents.⁴

Le secteur de la cybersécurité est cependant dans une position privilégiée car nous avons la possibilité d’atténuer l’impact de la pénurie de talents grâce à des actions que nous prenons à la fois en tant que communauté et en tant qu’organisations individuelles.

Quelles sont les mesures positives que nous pouvons prendre ?

1. Une approche mixte du recrutement

Je suis un ardent défenseur de l’approche traditionnelle du recrutement de talents, c’est-à-dire l’identification des personnes possédant la formation, les certifications, l’expérience et les qualifications appropriées. Mais trouver ces individus de nos jours, c’est comme trouver une licorne. Bonne chance.

Si nous voulons remédier correctement à la pénurie, nous devons élargir nos horizons. La cybersécurité s’adresse aux personnes qui s’intéressent à la technologie ; qui apportent un état d’esprit de puzzle ; qui sont curieux de comprendre comment les choses fonctionnent ; qui sont enthousiastes à l’idée de fusionner un système pour faire quelque chose qu’il peut faire et qui n’est pas son objectif prévu ; puis trouver des moyens de le sécuriser de la manière la plus transparente possible.

Nous devons ratisser plus large. Il se peut qu’ils ne suivent pas le parcours traditionnel de l’enseignement supérieur. Nous devons trouver des personnes capables d’exécuter. Mais nous devons également nous assurer que ces personnes travaillent bien en équipe et ont une forte éthique. La cybersécurité expose les gens à la possibilité de faire le bien ou le mal. Lorsque nous accueillons de nouvelles personnes dans notre communauté, nous devons nous assurer qu’elles comprennent les limites et qu’elles possèdent une solide boussole morale.

2. Plus de diversité

Nous entendons tellement parler de diversité. En cybersécurité, l’accent semble souvent être mis sur le genre. Il est vrai que nous devons attirer davantage de femmes dans ce domaine, mais il est également vrai que la diversité va bien au-delà du genre.

Les gens existent dans diverses dimensions : d’où ils viennent, quelle est leur culture, leur âge, leur religion et leur appartenance ethnique. Lorsque nous recrutons quelqu’un de nouveau, pouvons-nous identifier ce que cette personne ajoutera à l’équipe en termes de valeurs culturelles et d’adéquation ? Peuvent-ils ajouter une nuance culturelle différente qui apportera de nouvelles idées et perspectives ? Où pouvons-nous les trouver et comment pouvons-nous nous assurer qu’ils sont correctement formés, en particulier ceux qui ont suivi un parcours d’enseignement supérieur non traditionnel ?

3. Mentorat

Les programmes de mentorat formels sont un concept relativement nouveau pour notre industrie et ils ont constitué une évolution positive dans l’identification des personnes susceptibles de posséder les compétences, le tempérament et l’éthique nécessaires à la cybersécurité. Les associations industrielles constituent un autre mécanisme qui peut nous aider à établir des liens et à évaluer les compétences des individus, tout comme les collèges communautaires.

Le mentorat ne consiste pas seulement à recruter de nouveaux talents ; c’est également un facteur majeur de connexion, d’éducation, de formation et de rétention. En tant que CTO de terrain, j’ai toujours eu à cœur de fournir aux nouveaux membres de mon équipe à la fois un mentor et un parcours de carrière clairement articulé, avec des objectifs et des cibles spécifiques. Les gens doivent savoir qu’ils ne se contenteront pas de suivre les alertes et d’effectuer un travail répétitif et monotone pour le reste de leur vie. Tout cela crée un capital social solide, et ce sont ces liens qui nous unissent.

4. Leadership et culture

À certains égards, la cybersécurité ressemble au Far West. Nous sommes une vocation qui n’a que 30 à 40 ans (au mieux) par rapport à d’autres qui remontent à des décennies, voire des siècles. Dans cet environnement, tous les dirigeants n’ont pas la formation technique ou l’expérience nécessaire pour avoir été en première ligne.

Il est important, aux échelons supérieurs ou proches de l’organisation, de disposer de personnes possédant les compétences techniques ainsi que le sens des affaires nécessaires pour assurer le leadership et l’orientation des membres de leurs équipes. Il ne s’agit pas d’être un expert en cybersécurité mais d’avoir l’appréciation et la compréhension qui vous mettent à portée de communication des experts. J’ai vu des panels de sélection où les personnes qui procédaient au recrutement en savaient moins que les personnes qu’elles interviewaient.

5. Technologie

Nous constatons une grande attention accordée à la technologie pour aider à relever le défi des compétences. Il s’agit d’une évolution importante pour notre industrie, aujourd’hui et pour l’avenir. Avec une augmentation de automatisation, apprentissage automatiqueet l’intelligence artificielle (IA), nous pouvons utiliser la technologie pour contribuer à compléter nos ressources humaines.

Nous pouvons atténuer l’impact de la pénurie de compétences, pas nécessairement en remplaçant les humains par des machines, mais en utilisant des machines pour libérer nos employés et leur permettre d’effectuer un travail plus intéressant et plus stimulant qui nécessite un élément humain créatif. Les gens seront plus attirés par notre industrie et seront plus susceptibles d’être satisfaits de leur travail s’ils peuvent se concentrer sur un travail qui compte réellement pour eux. C’est ainsi que nous pouvons commencer à changer la proposition de valeur et comment nous envisageons la main-d’œuvre pour attirer et retenir les bons cybercriminels.

Mettre tous ensemble

Nous avons de meilleures chances d’attirer de nouveaux talents dans notre secteur et dans nos entreprises lorsque nous abordons la pénurie de compétences de manière globale.

Cela signifie élargir le réseau des individus susceptibles de posséder les compétences, le tempérament et le sens moral nécessaires pour réussir dans le domaine de la cybersécurité, même s’ils n’ont pas la formation ou les qualifications que nous recherchons traditionnellement. Il faut également comprendre clairement que ces participants devront déployer des efforts pour améliorer leurs connaissances, leurs compétences et leurs apprentissages.

Cela signifie également rendre notre industrie et notre travail attrayants pour des personnes d’horizons divers et fournir à tous nos employés les outils, la formation et les conseils nécessaires pour être à la fois heureux et réussir.

Nous y parvenons lorsque nous investissons dans des technologies modernes soutenues par l’automatisation, l’apprentissage automatique et l’IA, et lorsque nous assurons un leadership fort grâce à la communication, à la culture, aux programmes de mentorat et bien plus encore. L’un de mes mantras est le suivant : recruter pour l’attitude, former pour la compétence, coacher pour la performance.

Il faudra du temps pour constituer un pipeline capable de remédier pleinement à la pénurie de compétences. Mais nous pouvons faire beaucoup de choses en attendant, en particulier lorsque nous comprenons que les bons talents en matière de cybersécurité ne consistent pas seulement à réduire les risques : il s’agit également d’être un catalyseur stratégique d’innovation pour nos organisations.

Pour en savoir plus, visitez-nous ici.

1. Cybersecurity Workforce Study, (ISC)2, October 20, 2022
2. Cybersecurity Workforce Study, (ISC)2, October 20, 2022.
3. Why is there a global medical recruitment and retention crisis?, World Economic Forum, January 9, 2023.
4. State of Cybersecurity 2022 Report, ISACA, March 23, 2022.