La pénurie de compétences en cybersécurité complique la budgétisation en 2022

En ce moment même, de nombreuses entreprises commencent à préparer les budgets pour 2022, lesquels comprennent les montants dédiés à la sécurité. Au centre de ces calculs se pose la question de la répartition des montants à allouer entre les licences des plateformes de sécurité et les salaires des professionnels nécessaires à leur utilisation.

Compte tenu de la pénurie mondiale d'experts en cybersécurité, la question salariale est souvent une priorité. Il est plus difficile que jamais d'embaucher et de garder un bon professionnel de la cybersécurité, un problème qui s'est encore aggravé depuis que les entreprises ont pris l'habitude de recruter de façon accélérée des spécialistes en informatique à la suite de la pandémie de COVID-19.

Une enquête récente menée sur 489 professionnels de la sécurité par l'Enterprise Strategy Group (ESG) pour le compte de l'Information Systems Security Association (ISSA) fait apparaître que plus des trois quarts (76 %) des sondés déclarent qu'il est très difficile ou quelque peu difficile de recruter et d'embaucher des professionnels de la sécurité.

Bien entendu, la raison est en grande partie à chercher du côté du déséquilibre actuel entre l'offre et la demande. Plus d'un tiers des sondés (38 %) déclarent que la rémunération proposée par leur entreprise n'est pas compétitive.

Une part significative des sondés note également que leur service des ressources humaines (RH) ne comprend pas les compétences requises en matière de cybersécurité, tandis qu'un quart (25 %) déclarent que les offres d'emploi de leur entreprise sont souvent irréalistes. Plus de la moitié des sondés (59 %) déclarent que leur entreprise pourrait faire plus d'efforts pour répondre au manque de personnel compétent en cybersécurité.

Ce manque de personnel compétent a bien sûr un effet sur tous les professionnels de la sécurité. L'enquête révèle que cette pénurie entraîne une augmentation de la charge de travail (62 %) et un niveau élevé de burnout parmi les salariés (38 %). La moitié des sondés signalent également que le niveau de stress au travail a augmenté l'an dernier du fait de la croissance du nombre de salariés en télétravail afin de combattre la pandémie de COVID-19. Globalement, 57 % des sondés déclarent que leur entreprise est touchée par la pénurie de spécialistes en cybersécurité.

Pas moins de 95 % déclarent que le manque de personnel compétent en cybersécurité ne s'est pas amélioré ces dernières années, et 44 % déclarent même qu'il a empiré. Un total de 70 % des sondés note également qu'ils ont reçu au moins une sollicitation par mois de la part de recruteurs en vue de leur proposer un nouvel emploi.

Les responsables en cybersécurité les plus avisés savent que le choix de rester dans une entreprise ne dépend pas uniquement de la rémunération. Les sondés placent l'engagement de l'entreprise dans la cybersécurité comme plus important (43 %) que la rémunération (39 %). Les autres facteurs sont notamment la qualité de l'équipe de cybersécurité (33 %) et la possibilité de faire progresser leur carrière dans le domaine de la cybersécurité (32 %).

Ces mêmes responsables de la cybersécurité savent également qu'il n'y a aucune solution miracle à attendre à court ou à moyen terme. Ils peuvent certes s'appuyer davantage sur les fournisseurs de services de sécurité gérés, mais les budgets ne sont pas extensibles à l'infini. La seule véritable manière de compenser le manque de spécialistes en cybersécurité est de se reposer davantage sur l'automatisation afin de tirer meilleur profit du personnel existant.En préparant 2022, les responsables en cybersécurité vont devoir évaluer avec soin à la fois le niveau d'automatisation qu'ils peuvent attendre des plateformes de sécurité et le retour sur investissement tiré des plateformes héritées. Qu'on le veuille ou non, la cybersécurité est une course à l'armement qui exige une modernisation permanente des plateformes pour combattre les nouvelles menaces à mesure qu'elles apparaissent. Même les plus hauts niveaux d'automatisation ne sont pas près de remplacer les professionnels de la sécurité. La vraie difficulté consistera à trouver le bon équilibre dans le cadre d'un travail visant à tirer le meilleur retour possible de chaque euro investi dans la cybersécurité.