Les employés surchargés de travail dans le domaine de la cybersécurité ont du mal à relever les défis du métier, et les employeurs encore plus de mal à les garder.

En raison d’un manque d’investissement de la part des entreprises, les équipes chargées de la cybersécurité se démènent pour assurer la sécurité des réseaux d’entreprise, alors que l’augmentation du travail à distance pose des problèmes de sécurité supplémentaires.

Une étude mondiale sur les professionnels de la cybersécurité, réalisée par l’Information Systems Security Association (ISSA) et le cabinet d’analyse Enterprise Strategy Group (ESG), indique que ce manque d’investissement, combiné au défi que représente la charge de travail supplémentaire, entraîne une pénurie de compétences. Cette situation se traduit par des emplois non pourvus et un épuisement professionnel important parmi le personnel chargé de la sécurité de l’information.

 

Le poids du télétravail

Selon l’étude, qui a interrogé plus de 500 professionnels de la cybersécurité, 57 % des sondés déclarent que la pénurie de compétences en cybersécurité a eu un impact sur l’organisation pour laquelle elles travaillent, tandis qu’un peu plus de 10 % font état d’un impact significatif.

Selon 62 % des personnes interrogées, cela se traduit par une augmentation de la charge de travail du personnel chargé de la sécurité de l’information. Cette situation a eu des répercussions sur la santé mentale des employés travaillant dans le domaine de la cybersécurité, 38 % d’entre eux déclarant avoir souffert d’épuisement professionnel en raison de la pression supplémentaire exercée par le travail au cours d’une année déjà difficile.

« L’impact a été significatif. On attend des équipes qu’elles fassent encore plus d’efforts du fait de l’adoption par les entreprises du modèle de fonctionnement à distance », déclare Candy Alexander, présidente du conseil d’administration de l’ISSA International.

« Le paysage des menaces s’est radicalement transformé et une cyberguerre bat son plein avec des attaques de ransomware dévastatrices pour de nombreuses entreprises. Les professionnels de la cybersécurité doivent désormais relever le défi de se tenir au courant des dernières et des plus grandes menaces », ajoute M. Alexander.

L’une des raisons pour lesquelles de nombreux employés du domaine de la cybersécurité ont des difficultés est l’augmentation soudaine du travail à distance en raison de la pandémie mondiale : 50 % des personnes interrogées déclarent que cela a entraîné une augmentation du stress.

La prévalence accrue du travail à distance a rendu certains aspects de la sécurité des réseaux d’entreprise plus difficiles, car le personnel de cybersécurité a dû aider les employés – dont beaucoup n’avaient jamais travaillé à domicile auparavant – à rester en sécurité.

L’augmentation du travail à distance implique une plus grande utilisation des applications dans le cloud, ce qui a entraîné une demande accrue de professionnels de la cybersécurité possédant des compétences en matière de sécurité informatique cloud. Un nombre important d’organisations s’efforcent de trouver les personnes capables de combler ces lacunes.

Près de quatre professionnels de la cybersécurité sur dix (39 %) déclarent que leur organisation a du mal à pourvoir les postes de sécurité informatique dans le cloud. Dans le même temps, 30 % ont des difficultés à pourvoir les postes vacants dans le domaine de la sécurité des applications, et la situation est similaire en ce qui concerne l’analyse et l’investigation de la sécurité.

 

Erreurs dans le recrutement

Le rapport de l’ISSA/ESG révèle que de nombreuses organisations commettent des erreurs dans l’embauche et le recrutement de professionnels de la cybersécurité. Plus des trois quarts d’entre elles ont déclaré qu’il était extrêmement ou assez difficile de recruter et d’embaucher des professionnels de la sécurité, mais 38 % ont déclaré que leur organisation n’offrait pas de rémunération compétitive, tandis que 29 % ont déclaré que leur département des ressources humaines ne comprenait pas les compétences nécessaires à la cybersécurité. 25 % ont déclaré que les offres d’emploi dans leur organisation avaient tendance à être irréalistes. Les trois quarts des professionnels de la sécurité ont déclaré qu’ils étaient approchés par des recruteurs tous les mois.

Le rapport suggère qu’une partie du problème réside dans le fait que de nombreux conseils d’administration considèrent la cybersécurité comme un coût : quelque chose pour lequel il faut dépenser de l’argent, mais qui n’aide pas les résultats de l’entreprise.

Il est probable que ces conseils d’administration considèrent encore la cybersécurité comme un problème technologique plutôt qu’un problème commercial. Une posture naïve, alors que des fuites de données et des attaques par ransomware très médiatisées ont démontré que si la cybersécurité n’est pas gérée correctement, elle peut avoir des conséquences énormes pour l’ensemble de l’entreprise, et pas seulement pour les équipes informatiques et de cybersécurité.

Le personnel et la formation sont des éléments clés dans ce domaine : la technologie évolue rapidement et les méthodes utilisées par les cybercriminels pour s’introduire dans les réseaux sont en constante évolution. Il est donc important pour les organisations non seulement d’embaucher les bonnes personnes, mais aussi d’investir dans leur formation afin qu’elles puissent continuer à exercer leur métier en réagissant aux dernières menaces et en traitant les nouvelles formes de technologie.

Mais cela ne commence pas avec les employeurs : des parcours d’éducation et de formation sont nécessaires pour assurer le renouvellement des postes en matière de cybersécurité.

« Au niveau de la société, nous devons faire davantage pour éduquer les enfants sur la cybersécurité et les possibilités de carrière« , déclare Jon Oltsik, analyste principal principal et membre du GNE.

« Nous avons besoin de plus de fonds pour les bourses d’études en cybersécurité. Nous avons besoin de plus de programmes de stages et de mentorat. Toutes ces mesures sont en cours de réalisation et certains efforts sont louables, mais l’offre ne suit pas la demande et ce n’est pas près d’arriver. »

 

Source : ZDnet, Danny Palmer