Le paysage des menaces évolue constamment. Les technologies de cyberdéfense changent régulièrement. Mais un grand titre de la cybersécurité ne semble jamais changer : "Nous avons besoin de plus de personnel : Nous avons besoin de plus de monde.
Il est gratifiant de voir la Maison Blanche de Biden s'attaquer au déficit de talents dans notre secteur par une action substantielle, et Vectra AI est désireux d'apporter son aide. Mais il faudra plus qu'une brève poussée d'activité de recrutement estivale pour répondre aux besoins. Nous ne sommes pas dans une situation où il suffit d'appuyer sur une touche et de la relâcher ; nous avons besoin d'une campagne de recrutement à long terme.
Tout d'abord, le besoin. Il ne fait que s'accentuer. Entendre cela peut induire un sentiment de déjà-vu ; ne disions-nous pas la même chose il y a cinq, sept ou neuf ans ? Oui. Mais ce qui donne à réfléchir, c'est qu'avec le temps, le nombre de postes vacants dans le domaine de la cybersécurité ne diminue pas. Il ne cesse d'augmenter.
Rien qu'aux États-Unis, nous prévoyons 700 000 postes vacants pour les professionnels des technologies de sécurité à la mi-2022. À l'échelle mondiale, les besoins non satisfaits ont augmenté de 350 % entre 2013 et 2021, pour atteindre 3,5 millions de travailleurs, selon Cybersecurity Ventures - qui prévoit que même avec un recrutement fébrile, nous aurons encore un déficit de 3,5 millions en 2025.¹
Ces emplois sont bien rémunérés et offrent d'excellentes opportunités professionnelles - sans parler de la possibilité d'accomplir un travail d'une importance vitale pour construire un monde plus sûr et plus juste. Pourquoi ne faisons-nous pas mieux ?
Rareté des diplômes et autres obstacles
L'une des raisons est le mélange de compétences professionnelles et de certifications fréquemment spécifié aujourd'hui. Il y a quelques mois à peine, environ 106 000 postes vacants dans le domaine de la sécurité de l'information aux États-Unis exigeaient la certification CISSP (Certified Information Systems Security Professional), mais il n'y avait que 90 000 CISSP dans tout le pays, selon CyberSeek. Des responsables de la sécurité de l'information certifiés ? 40 000 annonces d'offres d'emploi, mais seulement 17 000 CV portant ce titre - et la plupart de ces personnes sont probablement déjà employées.
Autre problème probable : les personnes talentueuses et diversifiées que notre industrie souhaite interviewer peuvent être intimidées ou découragées par les exigences techniques formelles. Pourtant, il est faux de croire que nous avons besoin de 3,5 millions de CISSP hyperqualifiés. En fait, la cybersécurité a besoin de toutes sortes de penseurs inventifs. (L'une des caractéristiques de l'approche Vectra AI en matière de conception de solutions de sécurité est la constitution d'équipes diversifiées et polyvalentes, avec, par exemple, des climatologues et des secouristes qui complètent les experts en informatique).
"Ne vous inquiétez pas si vous n'avez pas toutes les certifications, les diplômes ou les capacités que vous pensez avoir été historiquement nécessaires pour la cybernétique", déclare Deborah Golden, responsable de la cybernétique et du risque stratégique aux États-Unis chez Deloitte. "Compte tenu de la situation actuelle du marché, il est nécessaire de disposer d'une plus grande diversité de pensée et, en toute franchise, d'un plus grand nombre de types de compétences et d'antécédents différents pour trouver des solutions.
Une campagne publique-privée pour cultiver les talents émergents
Il est clair que le secteur de la cybersécurité doit mieux faire connaître ses opportunités aux professionnels de la sécurité de grande valeur - et encourager les personnes qui ont le potentiel d'évoluer vers de telles fonctions. En tant qu'employeurs privés, nous devons gagner plus de considération de la part des candidats méritants.
Mais la cybersécurité est également une priorité de la défense nationale. Il s'agit depuis toujours d'un programme de défense hybride dans lequel le gouvernement définit des normes et des doctrines tandis que les intérêts privés innovent - et tous deux défendent les infrastructures critiques. Comme nous sommes étroitement liés, le meilleur moyen de pourvoir les postes est de mettre en place un partenariat public-privé.
Les dernières nouvelles de l'administration Biden sont donc prometteuses. En juillet, la Maison Blanche a annoncé son intention de diriger la création de centaines de programmes d'apprentissage en matière de cybersécurité, en s'associant à des intérêts privés dans le cadre d'un "sprint" accéléré de 120 jours. Il s'agit d'un partenariat entre les ministères du travail et du commerce, d'autres agences gouvernementales, et le bureau de la Maison Blanche chargé de la cybersécurité, afin d'aider les associations industrielles, les employeurs privés et les syndicats à attirer de grands esprits.
Il ne s'agit pas d'une chasse aux talents professionnelle classique. Elle est plus inventive et provocatrice. Une partie de l'initiative consiste à modifier un programme d'enseignement supérieur, le Cybersecurity Workforce Framework, afin qu'il puisse être utilisé par les enseignants de la maternelle à la terminale.
Une autre priorité est de remédier au déficit de diversité dans le domaine de la cybersécurité (à l'image des difficultés rencontrées dans le secteur plus vaste des technologies). Lors de la cérémonie de lancement du programme, Susan Rice, directrice de la politique intérieure de la Maison Blanche, a souligné que les femmes ne représentaient que 25 % de la main-d'œuvre dans le domaine de la cybersécurité, que 9 % d'entre elles étaient noires et que 4 % étaient hispaniques.
"Nous devons faire mieux", a déclaré Mme Rice. "Non pas au service d'un quelconque idéal, mais parce que l'Amérique est plus sûre et plus forte lorsque nous réunissons tout le monde autour de la table"⁴
Le directeur national du cyberespace, Chris Inglis, estime que le programme peut faire une différence substantielle "en quelques mois ou en quelques années, au lieu d'être présent pour la prochaine génération". Mais comme nous l'espérions, il ne s'agit pas d'une initiative à court terme. M. Inglis s'attend à ce que le gouvernement fédéral mette en place, dans les mois à venir, la stratégie nationale globale en matière de main-d'œuvre informatique dont nous avons tant besoin.⁵
Si l'automatisation et l'apprentissage automatique font partie intégrante des solutions de sécurité de nouvelle génération, notre activité dépend toujours d'êtres humains intelligents, et la pénurie actuelle se traduit par des risques indésirables pour nous tous. Vectra a l'intention d'être à l'avant-garde du développement des talents de la prochaine génération, et pas seulement parce que nous embauchons, mais parce que cela signifie un monde plus sûr et plus juste à l'avenir.
Président Biden, nous sommes là pour ça. Pour le long terme.
¹ "Cybersecurity Jobs Report : 3.5 Million Openings Through 2025," EIN Presswire, 11 novembre 2021. https://www.einpresswire.com/article/556075599/cybersecurity-jobs-report-3-5-million-openings-through-2025
² Ibid.
Sydney Lake, "Companies are Desperate for Cybersecurity Workers - More Than 700k Positions Need to be Filled", Fortune, 30 juin 2022. https://fortune.com/education/business/articles/2022/06/30/companies-are-desperate-for-cybersecurity-workers-more-than-700k-positions-need-to-be-filled/
⁴ David Jones, "White House Takes on Cyber Workforce Gap Through 120-Day Apprenticeship Sprint", CybersecurityDive.com, 20 juillet 2022. https://www.cybersecuritydive.com/news/white-house-cyber-workforce-apprenticeship/627705/#:~:text=Biden%20administration%20officials%20are%20launching,a%20long%2Dstanding%20workforce%20shortage.
⁵ Brian Fung, "How to Fill 700,000+ Open Cybersecurity Jobs : Feds Target Apprenticeships", CNN Business / WRAL TechWire, 20 juillet 2022. https://wraltechwire.com/2022/07/20/how-to-fill-700000-open-cybersecurity-jobs-feds-target-apprenticeships/