Vous êtes probablement conscient du déséquilibre entre l'offre et la demande en matière de cybersécurité, un fait d'autant plus grave que les organisations de toutes tailles sont confrontées à une myriade de menaces dangereuses. Étant donné qu'aujourd'hui est la Journée anti logiciels malveillants, une journée où l'on reconnaît le travail des professionnels de la sécurité, nous pensons qu'il convient d'examiner certaines données relatives à la pénurie de talents et, plus largement, au travail des professionnels de la sécurité. Il y a de fortes chances que, ce faisant, nous vous aidions à déterminer si vous souhaitez vous aussi poursuivre une carrière dans ce domaine.
En chiffres
Selon l'étude 2019 sur la main-d'œuvre dans le domaine de la cybersécurité réalisée par l'organisme de certification en matière de sécurité (ISC)2, la pénurie mondiale de professionnels de la cybersécurité a dépassé les 4 millions l'année dernière, passant de 2.9 million en 2018 à 1.8 million en 2017. Pour répondre à la demande, il faudrait que le nombre de travailleurs qualifiés dans le domaine de la sécurité augmente de 145 %. Rien qu'aux États-Unis, l'écart l'an dernier était de près de 500 000.
Il convient de noter que certains continents s'en sortent mieux que d'autres. Selon la dernière étude de (ISC)2, l'APAC représente la plus grande partie du déficit de main-d'œuvre (64 %), suivie de l'Amérique latine (15 %), de l'Amérique du Nord (14 %) et de l'Europe (7 %).
Parmi les autres résultats notables, deux organisations sur trois ont déclaré souffrir d'une pénurie de praticiens de la sécurité, et les personnes interrogées ont désigné cette pénurie comme leur principale préoccupation. Il n'est donc pas surprenant que la moitié d'entre eux admettent que leur organisation est « à risque modéré ou extrême en raison de la pénurie de personnel de cybersécurité. »
Cette année, la pandémie a davantage façonné les enjeux, notamment en poussant la transformation numérique à l'extrême et en faisant du travail à domicile la nouvelle norme. Le nombre et la gravité des attaques n'ont cessé d'augmenter, la pression exercée sur les agents de cybersécurité actuels s'est accrue et la demande de solutions et de services de sécurité est en hausse. Dans ce contexte, la pénurie de main-d'œuvre ne va pas se résorber. Au contraire, la demande continuera à dépasser l'offre.
Avez-vous besoin d’un diplôme (ou une certification) en cybersécurité?
Une question qui revient souvent est de savoir si vous pouvez obtenir un emploi dans le domaine de la sécurité sans diplôme universitaire dans ce domaine ou dans un domaine connexe. Nous avons abordé cette question l'année dernière, où plusieurs chercheurs en sécurité d'ESET ont partagé leur propre expérience et leurs points de vue. Selon l'ISC)2, les professionnels de la sécurité sont généralement titulaires d'une licence ou d'un diplôme supérieur, et une grande partie d'entre eux sont spécialisés en informatique ou en sciences de l'information.
En revanche, 12 % se sont lancés dans la sécurité informatique avec "seulement" un diplôme d'études secondaires. Ce n'est pas étonnat : alors que de plus en plus d'établissements universitaires dans le monde proposent des programmes de licence en sécurité informatique, beaucoup d'entre eux n'ont pas encore lancé de tels programmes. Par conséquent, de nombreux experts dans ce domaine sont autodidactes et/ou préparés à leur carrière par le biais de cours et de certifications non académiques.
LECTURES COMPLÉMENTAIRES : Les professionnels de la sécurité informatique : entre formation académique et autodidacte
En effet, il est de plus en plus utile de détenir un certificat de cybersécurité, et les professionnels de la sécurité possèdent en moyenne quatre de ces badges témoignant de leurs connaissances, leurs compétences et leurs capacités. C'est également la raison pour laquelle ils sont mieux payés (71 000 $ US en moyenne par an) que leurs collègues qui ne possèdent pas ce type de badge (55 000 $ US). L'écart est encore plus prononcé aux États-Unis et dans la région Asie-Pacifique.
Cela étant dit, une enquête d'(ISC)2 auprès des professionnels de la sécurité a révélé que des salaires compétitifs n'étaient pas le principal facteur influençant leur choix de carrière. Plusieurs autres caractéristiques - notamment le fait de travailler dans un environnement « où leurs opinions sont prises au sérieux » et où ils peuvent « protéger les personnes et leurs données » - se sont révélées encore plus importantes. Dans la nouvelle étude, 84 % des personnes interrogées ont déclaré se trouver là où elles s'attendaient à être dans leur carrière. Compte tenu de leur niveau élevé de satisfaction professionnelle, les choses semblent en effet bien fonctionner pour les praticiens de la sécurité.
La valeur des primes au bogues
Les programmes de bug bounty, ou primes au bogue, dans le cadre desquels les pirates éthiques reçoivent des récompenses financières pour avoir signalé des vulnérabilités de sécurité dans les systèmes informatiques des organisations, ont été un moyen important d'accroître l'intérêt pour la sécurité, en particulier chez les jeunes. Selon le rapport 2020 Hacker Report du fournisseur de plateforme de bug bounty HackerOne, pas moins de 850 pirates éthiques rejoignent les rangs de la communauté de 600 000 personnes chaque jour.
On peut affirmer sans risque que ces programmes sont également utiles pour dissuader la cybercriminalité et ramener les gens, en particulier les adolescents, du côté obscur vers la lumière. Poussés par la perspective de recevoir les éloges et la reconnaissance de leurs pairs, de nombreuses personnes deviennent des cybercriminels dès leur plus jeune âge, sans réaliser pleinement les conséquences de leurs actes.
Si les primes au bogue ou les programmes similaires ne sont en aucun cas la solution à la pénurie croissante de talents, les organisations peuvent certainement bénéficier de l'aide de pirates informatiques éthiques. En effet, l'exploitation de ce réservoir de talents peut aider les organisations à pallier la pénurie de compétences.
La porte est grande ouverte
En conclusion, voici peut-être un autre point de données à prendre en considération. L'enquête menée par (ISC)2 a révélé que seulement 42 % des premiers emplois des répondants après leurs études étaient en sécurité. En d'autres termes, ce domaine d'activité est largement ouvert aux personnes qui cherchent à se réinventer en tant que professionnels de la sécurité.
Bonne journée anti-logiciel malveillant!