En tant que lecteur de ce blog, vous savez que les problèmes liés à la sécurité sont une réalité quotidienne. Si vous êtes un praticien de la sécurité, vous souhaiteriez sans doute pouvoir vous cloner afin d’abattre une charge de travail supérieure. En effet, cette dernière ne cesse de s’amonceler. Pour ainsi dire quotidiennement, un nouveau rapport est publié faisant état de la pénurie de professionnels de la sécurité informatique qualifiés afin de pourvoir les postes vacants. Que faire pour remédier à ce déséquilibre grave et pallier la pénurie de candidats dans le secteur de la sécurité informatique ?
Passons-nous à côté de certaines opportunités ?
L’ISACA a récemment publié un rapport intitulé Current Trends in Workforce Development (tendances actuelles du perfectionnement de la main-d’œuvre), qui expose les difficultés à pourvoir les postes vacants rencontrées par les entreprises. Plus d’un quart des grandes entreprises estime ne pas être en mesure d’engager les personnes dont elles ont besoin et celles qui parviennent à pourvoir les postes vacants signalent qu’il leur faut plus de six mois pour trouver le candidat adéquat pour un poste donné. Près de la moitié des entreprises interrogées ont déclaré qu’elles recevaient moins de dix candidatures par offre d’emploi et 64 % des personnes interrogées ont indiqué que moins de la moitié des candidats disposaient des qualifications requises pour le poste.
Aussi inquiétant que cela puisse paraître, des éléments essentiels de ce rapport me laissent à penser que le secteur laisse passer de nombreuses opportunités d’embauches. De nombreux professionnels qui réussissent dans ce secteur ne disposent ni de formation académique en informatique, ni de certifications professionnelles dans le domaine de la sécurité. Si l’obtention d’un diplôme spécifique est essentielle dans d’autres secteurs, de nombreux praticiens de la sécurité hautement qualifiés ont appris leur métier sur le tas plutôt qu’à l’université ou dans une salle de cours. Les pratiques d’embauche efficaces pour la plupart des secteurs risqueraient en fait d’empêcher les experts de poser leur candidature pour les postes à pourvoir dans ce secteur.
Même en ne tenant pas compte de cette pierre d’achoppement au sein du processus de recrutement, d’autres opportunités nous filent entre les doigts. En effet, de nombreux praticiens de la sécurité actuels ont commencé leur carrière dans des secteurs complètement différents. Personnellement, je n’ai pas débuté ma carrière en tant qu’experte dans le secteur informatique, mais comme fleuriste. Étant donné que cette activité connaît un ralentissement saisonnier pendant l’été, j’ai décidé de travailler comme réceptionniste dans une entreprise de sécurité. Le directeur des laboratoires de recherche sur les logiciels malveillants a décelé chez moi des compétences qui pourraient être utiles dans son département. J’avais par ailleurs l’envie d’apprendre et il m’a donné ma chance. L’expérience s’est avérée concluante et j’ai été engagée à plein temps dans les laboratoires.
Sur le papier, je n’étais absolument pas qualifiée pour les postes que j’ai occupés par la suite. Néanmoins, j’ai été en mesure de tirer parti de mes compétences existantes, associées à des formations informelles, afin d’exceller dans le domaine de la sécurité. Je suis loin d’être une exception. En effet, l'homme que nous avons engagé pour occuper mon premier poste dans les laboratoires lorsque j’ai été promue ne disposait pas non plus de diplôme en informatique, ni de certifications. Il suivait son premier cours de programmation depuis quelques semaines seulement. Il manifestait un vif intérêt pour l’informatique et possédait par ailleurs d’excellentes compétences de communication, beaucoup plus difficiles à enseigner.
La principale ressource inexploitée
En 2015, seul un poste sur 10 était occupé par des femmes dans le secteur de la sécurité informatique. Les femmes représentent plus de la moitié de la population et près de la moitié de la main-d’œuvre actuelle. En d’autres termes, notre secteur ne parviendrait pas à entrer en contact avec des professionnelles qualifiées. Quant à ces dernières, elles n’auraient même pas conscience des possibilités qui s’offrent à elles dans le secteur de la sécurité informatique. Si ces candidates potentielles ne disposent sans doute pas à ce stade de connaissances techniques approfondies, nombre d’entre elles ont néanmoins une expertise dans d’autres disciplines nécessitant une formation bien plus complexe ou de longue haleine, notamment des diplômes de droit, une expérience en gestion de projet, une aptitude à résoudre les problèmes de façon créative ou des compétences en communication exceptionnelles.
En route vers l’avenir
La manière la plus attrayante de pallier la pénurie de compétences est sans aucun doute d’augmenter la quantité et la qualité des candidats. Pour y parvenir, tous les acteurs du secteur doivent se retrousser les manches. Nous devons sensibiliser les enfants aux possibilités offertes par une carrière dans le secteur de la cybersécurité et identifier les personnes susceptibles de bénéficier d’un mentorat et de formations afin d’exceller dans ce domaine. En outre, il est crucial d’inclure un plus large éventail de profils dans nos pratiques de recrutement. Vous pouvez apporter votre contribution par les biais suivants :
Le bénévolat
Il existe de nombreux groupes américains tels que TEALS, Girls Who Code, Women’s Society of Cyberjutsu et CoderDojo, ainsi que des événements locaux dans le secteur de la science, des technologies, de l’ingénierie et des mathématiques (abrégés sous l’acronyme « STEM » en anglais), des marathons de programmation et des camps de formation qui ont besoin de l’aide d’experts. Chaque année, de nombreux chercheurs d’ESET rejoignent une équipe d’accompagnateurs pour donner des cours aux enfants dans le cadre du camp de formation Cyber Boot Camp organisé par Securing Our eCity dans la région de San Diego. Il s’agit d’un événement ludique pour lequel davantage d’aide de la communauté est toujours bienvenue.
Les bourses d’étude
Le coût des formations officielles augmente très rapidement, ce qui risque de décourager certaines personnes de tenter d’acquérir les compétences requises pour intégrer le secteur. Dès lors, de nombreuses bourses d’études ont été mises en place pour encourager les étudiants à se lancer dans une formation dans le domaine de la sécurité. Plusieurs sites américains tels que (ISC)², CyberWatchWest et WiCYS mettent des listes de ressources à la disposition des étudiants qui recherchent de bourses d’études et des stages. Cette année, le montant de la bourse d’étude d’ESET Women in Cybersecurity (Les femmes dans la cybersécurité) a été doublée et ouverte aux étudiants à l’échelle nationale américaine. Les dossiers de candidature pour cette bourse d’études seront acceptés jusqu’au 15 mars.
Atteindre les groupes sous-représentés
De plus en plus de groupes consacrent leurs efforts à faciliter l’accès à un plus large éventail de profils aux carrières liées à la cybersécurité et à la technologie. Des groupes nationaux tels que Code2040 et Black Girls Code contribuent à jeter les bases de la prochaine génération de développeurs. Aux États-Unis, il est possible de se renseigner sur les groupes locaux de ce type grâce à des sites tels que MeetUp.
En procédant à des changements significatifs dès maintenant, nous pourrons éviter la pénurie prévue en 2022, qui pourrait s’élever à 1,8 million de professionnels, et contribuer à endiguer la propagation des logiciels malveillants et des difficultés liées à la sécurité.