Syda Productions - stock.adobe.com
Gartner : le manque de compétences en cybersécurité nécessite une nouvelle approche
A l’occasion du sommet de la gestion du risque et de la sécurité de Gartner, les analystes du cabinet discutent du défi que représente le recrutement de professionnels qualifiés et avancent des pistes.
La pénurie de compétences en cybersécurité continue d'affecter l'industrie. Mais pour Sam Olyaei, directeur du groupe de sécurité et de gestion des risques de Gartner, le « véritable problème » tient à la manière dont les responsables de la sécurité abordent la question. Selon lui, il faut passer de la recherche du « recrutement externe pour les postes vacants, à l'optimisation de la fonction sécurité de manière à acquérir les compétences nécessaires ».
Selon une étude du cabinet, 61 % des organisations ont des difficultés à embaucher des professionnels de la sécurité. Mais pour Sam Olyaei, ces difficultés proviennent surtout du fait que ces organisations ne savent pas de quelles compétences en cybersécurité elles ont véritablement besoin ou accordent trop d'importance aux certifications. Dès lors, « nous devons chercher des techniques émergentes, alternatives, pour ne pas seulement chercher ces profils, mais les construire ».
Accessoirement, pour l’analyste, le marché souffre d’un manque de normalisation des titres, des intitulés, de la terminologie et, par conséquent, de perspectives de carrière claires : « il n'y a pas de standard de la signification réelle de ces titres. Un analyste d'intervention sur incident pourrait être un analyste de la sécurité de l'information dans une autre organisation. Un ingénieur en sécurité d’une entreprise pourrait même être architecte de sécurité dans une autre ».
Sam Olyaei recommande alors l’élaboration d’un processus de planification stratégique qui tienne compte de références telles que l’initiative nationale de formation en cybersécurité (NICE) du Nist américain : « cela vous aidera à identifier les compétences, les connaissances et les aptitudes susceptibles d’être nécessaires à l'avenir pour, en fin de compte, prendre une longueur d'avance ».
L’analyste recommande également l’utilisation d’intitulés de fonction attrayants qui ne se limitent pas à l'aspect technique du poste, mais qui mettent l'accent sur les occasions de « se développer et grandir » ou encore « d'apprendre et s'adapter » pour aider à attirer le bon candidat.
Sam Olyaei conseille en outre d'investir dans des plateformes d’entraînement comme un cyber range, afin de développer graduellement de nouvelles compétences en cybersécurité. Mais cela ne s’arrête pas là.
L'automatisation de la sécurité
Selon les analystes de Gartner, les transformations numériques rapides que connaissent de nombreuses organisations contribuent à la pénurie de compétences en cybersécurité. Et pour Beth Schumaecker, directrice de la practice IT de Gartner, les technologies émergentes auront un impact direct sur la sécurité car leur adoption rapide crée des risques : « la transformation numérique nécessite de nouvelles compétences de la part des équipes de sécurité ».
Mais face au manque de compétences, Beth Schumaecker conseille de réfléchir à la façon de mettre en œuvre une stratégie d'automatisation adaptative pour utiliser au mieux les personnes et les compétences déjà à disposition. Dans cette perspective, Sam Olyaei invite à déterminer les compétences et les fonctions qui peuvent être automatisées et celles qui peuvent être confiées à un prestataire : « si vous avez des fonctions répétitives dans votre organisation aujourd'hui, vous devriez chercher à les automatiser tout de suite. Tirez profit de ce qui vous entoure en termes de technologies, d'outils, de capacités, de techniques et, en fin de compte, même de personnes extérieures ».
Et puis pour Sam Olyaei, il convient de décloisonner l’approche de la cybersécurité pour l’adapter aux nouveaux besoins induits par la transformation numérique : « les analystes de la sécurité se concentrent probablement encore largement sur les opérations quotidiennes, comme la gestion des logs, la surveillance ou la protection des terminaux, mais les organisations essaient de plus en plus de briser les silos afin d'avoir des équipes plus polyvalentes ».
De nouvelles compétences
L'adoption croissante du numérique, pour offrir de nouveaux avantages concurrentiels, exige le développement de compétences ad hoc, estiment ainsi les analystes de Gartner. Et là, pour Sam Olyaei, la capacité d'adaptation s’avère essentielle : « c'est quelqu'un qui fait preuve de souplesse, d'agilité et de capacité à répondre efficacement à différentes demandes ». Et à cela s’ajoutent le sens des affaires, la dextérité numérique, la recherche de résultats, le sens de la collaboration ou encore des synergies.
Sam Olyaei entrevoit également une extension du périmètre des attentes à l’égard de nombreux experts de la sécurité informatique. Et de prendre l’expert d’un spécialiste du test d’intrusion, dont on mesure aujourd’hui la qualité sur « le fait qu’il puisse ou non s’infiltrer dans un environnement, un système, des applications, etc. », sera de plus en plus appelé à « piéger un assaillant alors qu’il essaie d’exploiter une vulnérabilité pour infiltrer un système ou un environnement ».
Plus loin, selon l’analyste, à mesure que les organisations gagneront en maturité, la demande pour le poste d'analyste technique de la sécurité diminuera également : « un grand nombre des fonctions qui incombent à cet analyste auront été externalisées, automatisées ou, dans bien des cas, regroupées dans une fonction de sécurité plus large affectée à cette personne ».
Parmi les nouveaux rôles sur lesquels DSI et RSSI doivent garder un œil, il faudrait ainsi compter avec un responsable du risque numérique, un scientifique des données de sécurité, un champion interne de la sécurité, un responsable de l’écosystème numérique, ou encore un chef du personnel. Pour l’analyste, « ces cinq rôles se profilent comme un pont entre la sécurité de l'information et la sécurité numérique, faisant passer de l’effort traditionnel sur la confidentialité, l'intégrité et la capacité, à des questions de vie privée, de sûreté et de résilience ».