Peu de préoccupations atteignent davantage l'industrie de la sécurité informatique que d'éviter les faux négatifs. Bien qu'aucun produit ou technologie ne constitue une panacée pour prévenir chaque menace réelle, nous mettons tout en œuvre pour fournir une détection et une protection complètes et sans cesse améliorées - et pour que cela se reflète dans des tests compétents et indépendants. Et pourtant, on peut observer un grand nombre de faux négatifs systémiques dans nos efforts pour combler les postes en sécurité par des embauches.
Si la détection des menaces dangereuses est nécessairement différente de la détection d'une cible ayant des attributs positifs, comme des étudiants intéressés ou des candidats qualifiés pour combler l'énorme pénurie de professionnels de la cybersécurité, l'absence de détection entraîne également des résultats problématiques.
Des serrures aux portes de l’école
En 2014, nous avons discuté du fait que très peu d'enfants aux États-Unis reçoivent une formation en informatique de la maternelle à la 12e année. Bien que les choses se soient certainement améliorées au cours des dernières années, il reste encore beaucoup de chemin à parcourir avant que les normes de littératie numérique soient prises en compte dans tous les États américains ou avant que des cours d'informatique (CS, pour computer science) soient offerts dans toutes les écoles. Et à l'heure actuelle, de nombreuses écoles traitent l'informatique comme une matière à option plutôt que comme un cours de sciences ou de mathématiques valide.
Les étudiants à qui on n'offre pas de cours d'informatique avant l'université sont moins susceptibles de choisir un diplôme de premier cycle en informatique, car bon nombre d'entre eux auront l'impression qu'ils doivent rattraper les étudiants qui, depuis leur plus jeune âge, s'initient aux concepts informatiques. Quoi que vous pensiez de l'utilité des diplômes collégiaux comme préparation à une carrière en sécurité informatique, de nombreuses entreprises exigent encore un diplôme CS de quatre ans, même pour un poste de premier échelon. Beaucoup de gens trouvent que l'obtention de ce premier emploi crucial est extrêmement difficile sans ces titres de compétences.
Beaucoup d'étudiants peuvent même ignorer les possibilités de faire carrière dans la cybersécurité, en raison d'un manque d'exposition à l'éducation liée à l'informatique. En raison du hasard géographique, les enfants qui ont grandi dans des districts scolaires ou ruraux sous-financés ou qui sont en retard sur les normes de littératie numérique sont de facto exclus de ces possibilités de carrière importantes et enrichissantes.
Formation, enseignement supérieur et titres de compétences
Si vous avez passé par le processus d'obtention d'un diplôme ou d'un certificat de sécurité, il n'est pas surprenant qu'il s'agisse d'un travail difficile, souvent long et coûteux, surtout si vous êtes sous-employé ou sous-payé. L'effort en vaut souvent la peine et s'amortira avec le temps. Ce fait n'est peut-être pas pertinent si vous n'avez pas le temps ou les fonds nécessaires pour commencer. Et pour les personnes racisées ou celles qui ne peuvent pas s'installer dans un centre technologique important, il est beaucoup plus probable que le jeu n’en vaudra pas la chandelle.
Si vous parlez à des diplômés récents ou à des personnes qui embauchent pour des postes de niveau d'entrée, vous entendrez probablement que les deux groupes estiment que les diplômes de quatre ans sont souvent inadéquats pour répondre aux besoins particuliers d'un poste dans l'industrie. Compte tenu du rythme effréné de l'évolution de la technologie en général - et de la sécurité en particulier - cela signifie soit que les diplômés CS doivent se concentrer davantage sur les métaconcepts de l'informatique plutôt que sur des langages de programmation ou des menaces à la sécurité spécifiques, soit que la formation liée à l'emploi doit être assurée par d'autres types d'organisations qui peuvent adapter plus rapidement leur programme. Un manque de clarté sur les compétences spécifiques et les étapes nécessaires pour réussir à obtenir un emploi dans le domaine de la sécurité rend certainement la résolution de ce problème beaucoup plus difficile.
Recrutement, entretien et embauche
Au début du processus de recrutement, un grand nombre de candidats potentiellement intéressés et intéressants ont déjà été retirés du bassin et éliminés inutilement. Pourtant, c'est dans le processus de recrutement, d'entrevue et d'embauche que les obstacles insensés deviennent vraiment créatifs.
Cette présélection excessive a tendance à se produire parce que la plupart des personnes impliquées dans le processus d'embauche considèrent que leur tâche consiste à éliminer les candidats considérés « inadaptés », plutôt qu'à découvrir des « joyeux cachés ». Ainsi, de nombreuses organisations créeront autant d'obstacles que possible, que ces obstacles aient ou non quelque chose à voir avec les réelles qualifications des candidats.
Sachant que la concurrence est féroce pour attirer les talents disponibles dans le domaine de la sécurité et que de nombreux candidats approchés par les recruteurs sont peut-être déjà à l’emploi, il s’avère tout particulièrement important de trouver les arguments qui pourraient convaincre les candidats potentiels à se joindre à votre organisation. Gardez en tête que plus il y aura d’obstacles à l’embauche qui ne sont pas liés aux responsabilités du poste à combler, plus vous avez de chances d'effrayer les candidats qui comprennent ce que le poste implique réellement.
Que peut-on faire?
Les changements les plus simples, d’une certaine façon, sont ceux que nous pouvons apporter dans nos organisations respectives. En même temps, ce sont peut-être aussi les plus difficiles, car les situations dans lesquelles nous sommes plongés peuvent devenir si banales qu'elles passent inaperçues. Plus vous serez honnête et neutre au sujet des procédures existantes, meilleures seront vos chances d'avoir un impact positif.
- Planifiez votre offre d'emploi
Le choix de la formulation des offres d'emploi a fait l'objet de nombreuses discussions, l'accent étant souvent mis sur le langage genré. Que ces choix de mots reflètent ou non une préférence de genre ou optent pour une forme épicène, ils se concentrent sur les personnes qui privilégient la compétitivité et la hiérarchie plutôt que la coopération et la communauté. Mon collègue Stephen Cobb a abordé les problèmes que pose le fait de ne se fier qu'à l'évaluation des risques d'un petit segment de la population qui reflète ces caractéristiques. Il est également important vous en tenir à des exigences en matière de compétences simples et précises; une personne d'expérience percevra probablement des exigences exagérées comme un signe que les employeurs peuvent être trop exigeants.
Tenez compte de la façon dont les différents groupes verront votre annonce. Les sites où les candidats saisissent l'information sont-ils raisonnablement sûrs et utilisables? Utilisez-vous une police de caractère claire pour les personnes dyslexiques? Toutes les informations nécessaires sont-elles clairement lisibles pour les personnes daltoniennes? Le texte est-il accessible aux lecteurs d'écran? Utilisez-vous des expressions idiomatiques qui pourraient faire trébucher des locuteurs non natifs? Votre choix de mots pourrait-il avoir un sens involontaire s'il était lu littéralement par des personnes neurodivergentes?
- Choisissez judicieusement le placement de l'annonce
Publiez-vous des offres d'emploi uniquement sur quelques sites majeurs? Ou est-ce que vous approchez les gens sur des sites qui se concentrent sur des populations spécifiques et mal desservies? Plutôt que d'exiger que les meilleurs candidats viennent à vous, renseignez-vous sur les endroits où se rassemblent une plus grande variété de candidats et rencontrez-les où ils sont.
- Écoutez les candidats
Une autre façon importante de vendre votre organisation aux candidats est d'accorder des demandes raisonnables en termes de communications. Préfèrent-ils communiquer par courrier électronique ou par téléphone? Ont-ils besoin d'un peu plus d’informations sur le poste avant de soumettre leur curriculum vitae? Si vous permettez à vos candidats de mieux connaître vos besoins et de démontrer au mieux leur aptitude à l'emploi, vous aurez une meilleure idée de leurs capacités et de ce qu'ils pourraient apporter à l’organisation.
- Ne voyez pas les entrevues comme un travail de longue haleine
Les entrevues ne devraient pas représenter un travail de longue haleine. Portez attention au temps et à l'énergie de votre interlocuteur; le fait d'assister aux entretiens d'embauche ne devrait pas être aussi pénible que de courir un marathon. Essayez d'organiser les choses d'une manière adaptée, dans la mesure du possible, à l'horaire, aux capacités et à l'endurance de votre candidat. Les gens n'ont pas tendance à fournir un rendement représentatif de leurs habiletés réelles lorsqu'ils sont particulièrement épuisés, anxieux et stressés.
- Standardisez les questions d’entretien
Il peut être très difficile de donner une chance égale à tout le monde si vous ne leur posez pas les mêmes questions. Un groupe de personnes concernées devrait dresser à l'avance une sélection de questions appropriées, et les intervieweurs devraient s'en tenir à cette liste. Des notes devraient être prises sur les réponses données; une revue de celles-ci devrait avoir lieu peu de temps après les entrevues.
Vous pouvez également contribuer à améliorer vos futures options d'embauche en vous associant à des organismes qui aident à éduquer les jeunes sur des sujets liés à l'informatique ou qui soutiennent les membres de groupes sous-représentés dans leur préparation à une carrière en cybersécurité ou en technologie. Il y a vraiment un nombre incroyable d'organisations formidables! Voici un échantillon de quelques-uns de ces groupes :
Women in Cybersecurity (WiCys)
Women in Security and Privacy (WISP)
Women’s Society of Cyberjutsu (WSC)
International Consortium of Minority Cybersecurity Professionals (ICMCP)
CompTIA' s Advancing Diversity in Technology community
Code 2040
Latinos in Information Sciences and Technology Association (LISTA)
Society for Advancement of Chicanos/Hispanics and Native Americans in Science (SACNAS)
Deaf Kids Code
Operation Code
Mother Coders
Lesbians Who Tech
Trans*H4CK
I’ll be talking in more depth about this topic in my presentation at this year’s Virus Bulletin conference in Montreal, if you would like to hear more about ways in which to decrease our blind spots within the hiring process. Please feel free to share your favorite Diversity in Tech organizations in the comments!
Je traiterai plus en détail de ce sujet dans le cadre de ma présentation à la conférence Virus Bulletin de cette année à Montréal, si vous aimeriez en savoir plus sur les façons de réduire nos angles morts dans le processus d'embauche. N'hésitez pas à partager vos organisations préférées en matière de diversité dans le domaine des technologies dans les commentaires!