Tom Wang - Fotolia
Cybersécurité et compétences : des pistes pour répondre à cet enjeu phare de 2017
Le monde de la cybersécurité souffre d’une pénurie systémique de compétences. Mais les pistes sont nombreuses pour pallier celle-ci, qu’elles soient technologiques ou liées à la gestion des ressources humaines.
La cybersécurité est un sujet qui est aujourd’hui en forte croissance. Les menaces se multiplient et se diversifient, de nouvelles solutions technologiques apparaissent, les entreprises et les états investissent, de nombreuses startups voient le jour… Mais cette activité connaît aujourd’hui une limite majeure : la disponibilité de professionnels compétents dans le domaine. Tour d’horizon de quelques pistes pour résoudre ce qui apparaît aujourd’hui comme un problème insoluble.
Un manque criant à l’échelle internationale
A l’échelle internationale, les chiffres donnent le tournis. Il est souvent évoqué que plus de 1.5 millions de professionnels manqueront à l’appel d’ici 2019 pour répondre aux besoins. Cet état de fait est partagé par les états qui le rappellent régulièrement. En France, l’Anssi a lancé une initiative de labellisation SecNumEdu afin de répondre à cette carence. Ce label vise à qualifier les formations existantes et à s’assurer de la bonne prise en compte de la cybersécurité dans les cursus existants. Les écoles et organismes de formation réagissent également avec l’apparition de nouvelles formations à tous les niveaux, notamment avec la création de nombreux masters spécialisés.
Automatiser et simplifier pour optimiser le travail des équipes
Dans les organisations, une première piste consiste naturellement à optimiser le travail des équipes. Ceci peut se faire via un volet technologique. En effet de nouveaux produits permettent de mieux gérer des workflows sécurité, voire d’automatiser une partie des actions. Il s’agit en particulier des outils comme les SIRP pour faciliter la gestion des incidents et diminuer le temps passé sur des actions récurrentes. Des outils d’optimisations de la sécurité réseau (Tufin, Algosec, Skybox…) peuvent aider à réduire la charge sur des actions consommatrices comme les ouvertures de flux sur le réseau. Mais même si ces solutions peuvent aider, nos retours terrain montrent clairement qu’elles ne pourront pas tout faire, la cybersécurité restant une matière qui demande une forte capacité d’adaptation à une menace mouvante et à des changements métiers fréquents dans les grandes organisations nécéssitant des interventions humaines.
L’autre volet, plus classique, consiste à identifier d’éventuelles améliorations organisationnelles au sein des équipes (actions en doublons, mauvaise utilisation des compétences, simplification de processus…) voire d’envisager de décentraliser certaines actions liées à la sécurité dans d’autres équipes opérationnelles SI. Cette approche peut également être bénéfique pour sensibiliser et mobiliser sur le sujet plus largement que dans les équipes sécurité. Cependant la tendance actuelle à la réduction des effectifs dans une majorité de DSI n’est pas un facteur facilitant.
Diversifier son recrutement et former
Une autre piste suivie avec succès dans certains contextes consiste à diversifier son recrutement. Aujourd’hui, la plupart des organisations cherchent des personnes expérimentées en cybersécurité alors qu’il y en a très peu. Recruter des profils, plus jeunes ou issus d’autres métiers et motivés par la cybersécurité, peut être très positif car cela permet également d’amener des nouvelles idées ou de nouvelles manières de faire. Evidemment, il faudra consacrer de l’énergie pour former ces personnes et les faire monter en compétences. Mais très souvent le jeu en vaut la chandelle !
La mobilité : une clé pour les grands comptes
Une dernière piste consiste à faire jouer les différents mécanismes de mobilité existant au sein des organisations. La cybersécurité est aujourd’hui un sujet qui est visible et qui peut attirer. A nouveau, il ne s’agit pas de faire venir des experts cybersécurité, mais il existe souvent des profils de chef de projet, de pilote de programme, d’architecte ou de développeur qui peuvent être très rapidement opérationnels et amener également des compétences qui peuvent manquer dans les équipes sécurité habituelles.
L’augmentation de la taille des équipes sécurité amène aussi à chercher des profils de manager pour piloter la structure. Et le futur ouvre la porte à des nouveaux profils comme des data scientists, des spécialistes de l’Agile ou encore des spécialistes de l’analyse de la menace pouvant provenir d’horizons diversifiés voire être issu d’équipes existantes.
Combiner les forces et construire des plans de carrières
En complément de l’évolution de la posture de recrutement, n’oubliez pas vos équipes existantes ! Ce sont elles qui sont efficaces et performantes aujourd’hui. Vous vous devez de les conserver et de leur proposer un vrai plan de carrière dynamique leur permettant de progresser. Plus largement, c’est aussi ce qui rendra attirant votre entité et vous permettra d’attirer des profils intéressants plus facilement.
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone (ex-Solucom). Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.