IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La cybersécurité confrontée à une pénurie mondiale de près de 3 millions de personnes qualifiées
Selon une étude

Le , par Stéphane le calme

206PARTAGES

16  0 
Selon certaines études, la pénurie du personnel qualifié en cybersécurité s’intensifie dans le monde entier, mettant les entreprises potentiellement en danger. Malgré l'augmentation des dépenses consacrées aux technologies, ce déséquilibre entre l'offre et la demande de professionnels qualifiés continue de rendre les entreprises vulnérables à tel point que certaines recherches indiquent que la pénurie de professionnels de la cybersécurité est aujourd’hui la préoccupation numéro un de ceux qui travaillent déjà sur le terrain.

C’est dans ce cadre que (ISC)² (anciennement la Global Information Security Workforce Study), une ONG de professionnels de la sécurité, s’est intéressée à la dynamique de cet écart, y compris son impact sur les entreprises et les particuliers, est complexe. La cybersécurité touche presque tout le monde dans une organisation. Selon l’ONG, des employés des services juridiques au marketing, des finances aux opérations, sont de plus en plus conscients de la façon dont les données transitent dans l’organisation et de ce qu’il faut pour assurer leur sécurité. Entre-temps, les professionnels de l’informatique sont souvent responsables de la sécurisation des actifs critiques de leur entreprise, mais n’ont pas de titre officiel de sécurité de l’information. C’est la raison pour laquelle (ISC)2 aborde maintenant plus largement le domaine de la cybersécurité et la manière de relever ses défis.

Dans le cadre de l’étude sur la cybersécurité (ISC)² , l’ONG est allée à la rencontre des professionnels de la cybersécurité ainsi que des professionnels de l’informatique qui consacrent au moins 25% de leur temps à des activités de cybersécurité. Elle affirme avoir exploré les nombreuses facettes de la pénurie de compétences, afin de mieux comprendre le problème et de répertorier les solutions possibles. L’enquête, menée en Amérique du Nord, en Amérique latine, en Asie-Pacifique (APAC) et en Europe, a permis de recueillir les commentaires de près de 1 500 personnes.

La pénurie mondiale, à combien peut-elle se chiffrer ?

Selon (ISC)2, il manquerait à l’industrie près de trois millions de professionnels de la cybersécurité dans le monde. L’essentiel de cette demande viendrait de l’APAC, qui connaît la plus grande pénurie avec 2,15 millions de professionnels manquant à l’industrie. Le rapport explique cela en partie grâce à la croissance de ses économies et à la nouvelle législation en matière de cybersécurité et de protection des données dans l’ensemble de la région.

Contrairement aux modèles de calcul des écarts existants qui soustraient simplement l'offre à la demande, ce calcul prend en compte d'autres facteurs critiques, notamment le pourcentage d'organisations avec des postes ouverts et la croissance estimée d'entreprises de tailles différentes. Le calcul de la demande comprend les débouchés actuellement disponibles, ainsi qu'une estimation des besoins futurs en personnel. Et le calcul de l'offre inclut des estimations du nombre d'entrées académiques et non académiques sur le terrain, ainsi que des estimations des professionnels existants pivotant vers les spécialités de cybersécurité.

Cette approche plus globale de la mesure de l'écart produit une représentation plus réaliste des défis et des opportunités en matière de sécurité auxquels les entreprises et les professionnels de la cybersécurité sont confrontés dans le monde entier.


L'impact réel de la pénurie de compétences

Une pénurie de près de trois millions: ce chiffre peut sembler abstrait, mais il a un impact réel sur les entreprises et les responsables de la cybersécurité. Selon l'enquête, 63% des personnes interrogées ont déclaré que leur entreprise manquait de personnel informatique dédié à la cybersécurité. Et près de 60% affirment que leur entreprise est exposée à un risque modéré ou extrême d'attaque en matière de cybersécurité en raison de cette pénurie.


Bien qu'un nombre important d'entreprises envisagent de recruter davantage de personnel chargé de la cybersécurité au cours des 12 prochains mois, presque le même pourcentage ne s'attend à aucun changement dans les effectifs, voire à une réduction.

Le rôle de l’entreprise / l’organisation dans la cyber-résilience

En aidant les personnes à se concentrer sur la cybersécurité, les organisations peuvent renforcer la cyber-résilience dans toutes leurs activités. Naturellement, les budgets de sécurité jouent un rôle dans la préparation et la dotation en personnel en matière de cybersécurité. L'enquête (ISC) ² a révélé que la cybersécurité est une priorité budgétaire pour les entreprises, mais les professionnels de la cybersécurité affirment systématiquement qu'il ne s'agit pas d'une priorité suffisamment élevée.


Cependant, plus de la moitié des entreprises représentées par la recherche s'attendent à augmenter leurs budgets de cybersécurité au cours des 12 prochains mois. Une forte majorité de répondants, 70%, déclarent que le nouveau montant sera suffisant.

Les qualités les plus importantes pour décrocher un emploi

Lorsqu'elles consacrent ces budgets à l'embauche en cybersécurité, les entreprises recherchent un large éventail de qualifications. Une expérience de travail pertinente, une connaissance des concepts avancés de cybersécurité et des certifications en cybersécurité sont les trois qui reviennent le plus souvent. Cependant, il peut être surprenant que les diplômes de premier cycle et de cycles supérieurs liés à la cybersécurité importent le moins aux responsables de l’embauche comme le montre les résultats ci-dessous.


À mesure que les professionnels acquièrent une expérience de travail en cybersécurité sur le tas, les organisations peuvent contribuer à réduire l'écart en offrant davantage d'opportunités de formation et en se concentrant sur les types de formation les plus utiles pour ceux qui travaillent déjà dans le domaine de la cybersécurité.

« Cette recherche est essentielle pour permettre de mieux comprendre qui constitue le plus grand bassin de travailleurs en cybersécurité et nous permet de mieux adapter nos programmes de développement professionnel aux hommes et aux femmes qui sécurisent des organisations jour après jour », a déclaré le PDG de l’ONG David Shearer. « Nous partagerons ces informations avec nos partenaires des secteurs public et privé afin de contribuer à la mise en place des programmes nécessaires à l'avancement de la profession de cybersécurité. En élargissant notre vision de ces ressources humaines pour inclure les personnes assumant des responsabilités collatérales en matière de cybersécurité au sein des équipes informatiques et TIC, nous avons découvert que les professionnels font toujours face à des défis familiers, mais nous avons également constaté des différences frappantes par rapport aux recherches précédentes, notamment des ressources humaines plus jeunes et une plus grande représentation des femmes ».

Pour certain, la cybersécurité est un choix de carrière enrichissant ; 68% des personnes interrogées ont déclaré être très ou assez satisfaites de leur emploi actuel. Ce secteur attire également une population plus large, les femmes représentant 24% de l’ensemble de la population active en cybersécurité (contre 11% dans les études précédentes), tandis que 35% appartiennent à la génération Y (contre moins de 20% dans les études précédentes).

Les principaux défis à relever pour poursuivre une carrière en cybersécurité ont été répertoriés comme suit :
  • des opportunités d’avancement peu claires pour les rôles en cybersécurité (34 %) ;
  • un manque de connaissances de la part de l’entreprise des compétences en cybersécurité (32%) ;
  • un coût élevé des certifications en cybersécurité (28%) ;
  • des frais élevés de scolarité pour se préparer à faire carrière (28%) ;
  • pas suffisamment d’expérience professionnelle dans des postes relatifs à la cybersécurité.

Source : étude en PJ (au format PDF)

Et vous ?

Quels sont, selon-vous, les meilleurs cursus scolaires pour entrer pleinement dans une carrière en cybersécurité ?
Quelles expériences professionnelles peuvent être pertinentes pour évoluer dans ce domaine ?
Qu'en est-il des compétences que doivent avoir les aspirants ?

Voir aussi :

Le Royaume-Uni pratique des cyberattaques qui pourraient couper l'électricité à Moscou, pour réprimer la Russie sans recourir à une attaque nucléaire
Australie : le projet de loi visant à contraindre les télécoms à installer des spyware sur mobile, pourrait "nuire gravement" à la cybersécurité
11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité
Cybersécurité : 87 % des attaques ciblées sont évitées, mais leur nombre a doublé en 2018, d'après une étude d'Accenture sur les grandes entreprises
L'Allemagne annonce une agence pour encourager les recherches sur la cybersécurité, afin d'être indépendante vis-à-vis des technologies américaines

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 18/10/2018 à 10:25
[Note : je travaille dans la cybersécurité, donc j'ai un point de vue partial]

Je suis d'accord, le virage de la cybersécurité a été raté, comme d'autres avant.

Le problème aujourd'hui en entreprise, c'est que la sécurité n'est vue que comme un coût : sauf en de rares occasions, la sécurité d'un logiciel est vu comme quelque chose de normale, donc on ne peut pas vendre un logiciel plus cher parce qu'il est sécurisé.

Et ceci explique la différence de point de vue entre les entreprises qui pense dépenser assez pour leur cybersécurité, et les professionnels de la cybersécurité qui trouvent que les budgets sont trop faibles. De même, beaucoup de gens pensent qu'il faut d'abord développer la fonctionnalité, et qu'on sécurisera après ; or ce genre de pratiques affaiblissent la sécurité en augmentant les coûts.

Bref, oui, il y a un énorme boulot à faire, et oui, il faut recruter des gens, et leur donner des budgets, ainsi que du pouvoir pour faire changer les choses. Sans ça, les catastrophes vont être légions (elles le sont déjà). Sauf que nous savons tous que la perspective du retour de bâton dans plusieurs mois / années n'est pas quelque chose qui fait bouger les entreprises.

Du coup, on (les professionnels de la cybersécurité) fait ce qu'on peut, avec ce qu'on a, et on veut plus. Comme tout le monde en fait.
13  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/10/2018 à 9:50
S'il existe une dette technique dans le fonctionnel numérique, elle reste Ô combien plus aiguë en cybersécurité. Là où je pense que nous avons raté le coche pour prendre le virage de la sécurité, c'est lors de l'hégémonie d'XP où il y avait la place. Pourtant la conférence DEFCON a 26 ans; et la conférence Black Hat en a 18. Aujourd'hui, avec une diversité des systèmes et une croissance exponentielle des données, il se fait tard pour se réveiller du cauchemar pour les professionnels de la sûreté.

Les crackers d'Etat ou pas ont un bel avenir devant eux.

edit :
Les qualités humaines en cybersécurité sont pour moi, la patience et la réactivité accompagnées d'une grande curiosité pour la veille constante à effectuer de manière discrète. Il s'agit souvent d'un travail d'équipe donc le transfert de connaissances est un atout important même si rien ne remplacera l'expérience.
8  0 
Avatar de pascaldm
Membre actif https://www.developpez.com
Le 26/10/2018 à 16:17
Citation Envoyé par singman Voir le message

La cyber sécurité suit le même chemin mais plus rapidement, car les moyens de protection sont bien moins coûteux et facile à mettre en oeuvre.
C'est juste le contraire ! Les moyens de protections sont très coûteux car ils incluent essentiellement des ressources humaines qualifiées, des procédures et de l'organisation. Même la partie produits et services de sécurité possèdent des coûts bien souvent supérieurs aux autres services.

En outre, la transition numérique généralisée des entreprises ainsi que l'émergence de l'internet des objets submergent complètement l'espace numérique. La cybercriminalité s'y engouffrent car il y a un retour sur investissement. Mais ni la mentalité, ni la culture, ni l'enseignement n'ont préparé les populations à l'ampleur de ce phénomène. Les pouvoirs publics s'en emparent et légifèrent : le volet cyber de la LPM (Loi de programmation Militaire) en France, le NIS (Network Information & Security) et le RGPD dans l'UE, sont autant de nouvelles exigences réglementaires contraignantes pour les entreprises. Mais les compétences nécessaires n'existent pas sur le marché. Il y a une carence importante et les seules ressources disponibles sont insuffisamment qualifiées pour la majeure partie. C'est un marché pénurique. D'autant plus qu'il s'agit de personnel à haute qualification. Dans ce domaine, on recrute de bac+5 à +8 avec expérience. En 2016, il y a eu 20% de postes non pourvus. Cette carence s'accroît actuellement de 8% par an et je ne parle que du marché Français moins touché que ces voisins. D'ailleurs ceux-ci attirent largement les ressources françaises (Allemagne, Autriche, Suisse, Pays-bas, Luxembourg et Belgique) avec des salaires très incitatifs.

Les COMEX n'ont pas encore pris la mesure de cette situation et, effectivement, la cybersécurité est encore considérée comme un centre de coût et une obligation légale et réglementaire. La prise de conscience n'est pas encore là. Mais elle pointe le bout du nez.

Cela fait plus d'un tiers de siècle que je suis passionné par la sécurité dont +25 ans comme professionnel dans ce domaine. J'ai vécu toute son évolution, mais la situation actuelle est catastrophique et je considère la cybersécurité comme un échec. Le présent article ne fait que renforcer cette impression. La prise de conscience en cours ne permettra que de faire un constat d'échec. Combler les besoins prendra des années, depuis la sensibilisation de la population jusqu'au cursus de formation initiale et à la formation continue.

Aujourd'hui, l'avantage est largement à l'attaque, pas à la défense.
4  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 26/10/2018 à 16:50
Citation Envoyé par singman Voir le message
La cyber sécurité suit le même chemin mais plus rapidement, car les moyens de protection sont bien moins coûteux et facile à mettre en oeuvre.
Comme le dit pascaldm, c'est bien le contraire.

La sécurité est inexistante dans énormément de domaines, et le problème est sous-estimé partout. Et je ne pense pas qu'aux grille-pains connectés, il y a aussi des soucis sur des systèmes beaucoup plus critiques (un exemple qui en vaut bien d'autres, des systèmes d'armement états-uniens : https://www.schneier.com/blog/archiv...vulner_17.html).

Et que faire des systèmes qui ont 20 ans ou plus, qui ne sont presque plus maintenus, et dont la sécurisation serait plus coûteuse que la ré-écriture de millions de lignes de code et le changement du matériel ? On parle ici de coûts en millions au bas mots.

Les problèmes sont partouts, et la prise de conscience (presque) nulle part. Oui, des choses bougent. Parfois, pas tout le temps. Et les professionnels de la cybersécurité sont souvent vus comme des catastrophistes qui noircissent tout, et qui ne font que coûter de l'argent.
3  0 
Avatar de
https://www.developpez.com
Le 18/10/2018 à 16:24
Citation Envoyé par herr_wann Voir le message
Raison pour laquelle il faut absolument des lois strictes pour infliger des amendes record pour toute faille de sécurité dans les produits et services. Il est tard mais le pire est à venir avec l'IOT. Et quand je dis amende record, je parle de 10% du CA histoire de décourager les petits malins qui considèrent que cela coûte moins cher de payer une amende ou un procès que de faire les efforts a la conception.
Je suis d'un côté d'accord mais de l'autre non. Ce que tu écris est valable pour les grosses entreprises mais si tu appliques ça à des petites entreprises et même des moyennes, elles vont juste couler à la première faille par manque de moyens. Nous aurons encore une différence plus grande entre les petits et les grands et elle se creusera toujours plus (pour qu'au final les grandes entreprises s'en sortent même en payant autant) et ainsi de suite.

Il n'y a pas vraiment de solution si ce n'est faire prendre conscience aux gens que la sécurité informatique est primodiale et pour quelles raisons. Tant que la population ne réagira pas plus que ça (même aux énormes failles de sécurité comme Facebook sans même parler de tous les objets connectés où les exemples sont légions), les entreprises seront tranquilles et continueront sur cette voie.
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 08/06/2020 à 16:33
Citation Envoyé par pemmore Voir le message
Ca reste stupéfiant de voir le nombre de boîtes à l'arrêt causées par une simple attaque, faudrait tout de même une certaine résillience, rendre totalement indépendantes certaines zones, ne pas considérer l'informatique comme fiable, le mal de l'époque.
Combien es-tu prêt à investir, personnellement, dans la sécurité :
As-tu des onduleurs ? Et des machines de secours ? Oui, on peut inclure cela dans la résilience.
Combien de sauvegardes fais-tu, sur quel support ?
À quelle fréquence fais-tu des restaurations issues des anciennes sauvegardes (car si tu écris bien mais que tu ne peux pas lire, ta sauvegarde ne sert à rien) ?
Est-ce que tes sauvegardes sont dans un lieu physique différent de ton/tes serveurs ?
As-tu un firewall en plus de celui fourni par ta box ?
etc..

La sécurité a un prix -- qui est très souvent inférieur au prix d'une attaque d'ampleur. Mais elle reste vue comme un centre de coût, car c'est rarement un argument de vente, contrairement à une fonctionalité en plus. Vendre de la sécurité à un décideur (interne bien sûr), c'est compliqué -- même si bien sûr ça se fait.

Tout le monde aime la sécurité. Personne n'aime le prix réel de la sécurité.

Sur ceci, tu peux ajouter le fait que beaucoup de gens travaillant dans la sécurité ne sont pas assez expérimentés pour comprendre que la sécurité est avant tout une question de compromis.
2  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/10/2018 à 17:19
Pour sensibiliser à l'importance de la sécurité, il suffit de faire comprendre au Comex que lorsqu'il y a eu perte de signature de contrat important, cela signifie intrusion/fuite.

Comme l'a dit l'ANSSI, la sécurité fait partie intrinsèque de la compétitivité. A moyen terme (3/5 ans), cela fait la différence entre ceux qui sécurisent et ceux qui ne le font pas. Et en meurt.
1  0 
Avatar de pemmore
Membre actif https://www.developpez.com
Le 01/06/2020 à 13:57
et dans certains pays c'est un sport national, reste que ce personnel dont a besoin, pas encore formés, ont'ils comme les développeurs la chance d'être rémunérés correctement?
Ca reste stupéfiant de voir le nombre de boîtes à l'arrêt causées par une simple attaque, faudrait tout de même une certaine résillience, rendre totalement indépendantes certaines zones, ne pas considérer l'informatique comme fiable, le mal de l'époque.
1  0 
Avatar de herve83320
Membre à l'essai https://www.developpez.com
Le 31/12/2023 à 14:00
Les entreprises de cybersécurité que je connais recrutent à niveau Bac +3 si ce sont de «*Geek*» qui ont commencé à faire de la programmation à l’age de 10 ans environ, ou Bac +5 pour le courant.

Il semble évident que la cyber devient fortement corrélé à l’analyse des flux de données, et donc en liens avec des mathématiciens.

Comme cité dans les messages, il ne parait pas possible de mettre un cyber-soldat derrière chaque personne qui n’a pas une hygiène de base en termes de sécurité. Ce problème est d’autant plus grave que tout devient numérique (Santé, argent, impôts, identité, sécurité sociale, …). Demain il sera possible d’effacer une personne de sa vie en un clic de souris.

L’éducation nationale, qui ne fait plus vraiment de l’instruction publique, ouvre des formations cyber+réseau+électronique aux élèves de bac pro, de bac technique, de ce fait bien en amont du niveau nécessaire, montrant une lueur d’espoir. Cela se fait au détriment des autres métiers de la maintenance, qui est le domaine des BAC Pro.

Vu la réduction du nombre d’heures de formation depuis des années.
Vu que les élèves ne redoublent plus, ils accumulent des lacunes jusqu’au bac.
Vu que les lycées (surtout pro) sont remplis d’élèves ayant au mieux des troubles DIS (dysorthographiques, dyscalculies, ….) des troubles de comportement ou tout simplement autistes pas forcément asperger.

De plus ils passent la majorité de leur temps sur les réseaux asociaux, ce qui est improductif.
Quand on leur parle de CTF, ou de programmation python, C, C++, ou même des formules de trois lettres qu’ils sont censés utiliser lors des TP, ils ouvrent des grands yeux surpris comme si on leur en parlait pour la première fois.

On peut parler aussi de certains élèves de BTS électronique, qui ne sont pas capables de câbler une liaison TX-RX convenablement, et qui persistent dans l’erreur en affirmant qu’ils ont vérifié et qu’ils ont raison. Je pourrais en raconter plus, mais ce n'est pas le sujet.

Je crains que nous devions faire comme dans les hôpitaux lors de cyber-attaques, repasser au papier si la France ne se redresse pas rapidement.

Je continue la lutte pour plus d’intelligence collective dans l’espoir de voir que ma vision est totalement erronée.
1  0 
Avatar de herr_wann
Membre confirmé https://www.developpez.com
Le 18/10/2018 à 12:08
Citation Envoyé par gangsoleil Voir le message


Le problème aujourd'hui en entreprise, c'est que la sécurité n'est vue que comme un coût : sauf en de rares occasions, la sécurité d'un logiciel est vu comme quelque chose de normale, donc on ne peut pas vendre un logiciel plus cher parce qu'il est sécurisé.
Raison pour laquelle il faut absolument des lois strictes pour infliger des amendes record pour toute faille de sécurité dans les produits et services. Il est tard mais le pire est à venir avec l'IOT. Et quand je dis amende record, je parle de 10% du CA histoire de décourager les petits malins qui considèrent que cela coûte moins cher de payer une amende ou un procès que de faire les efforts a la conception.
2  2