Les résultats de cette enquête ISACA indiquent une raison clé du sous-personnel chronique. Astuce: les chefs d’entreprise et les RH peuvent promouvoir une notion déséquilibrée sur le «niveau d’entrée».
Même si les collèges et les écoles de commerce produisent de plus en plus de diplômés dans le domaine, des centaines de milliers de postes de cybersécurité ne sont pas remplis, de nombreuses entreprises souffrant de manque de personnel pendant qu’elles traînent le processus d’embauche. Il est difficile de comprendre ce qui se passe vraiment ici, mais il est peut-être temps pour les entreprises de réfléchir à la façon dont elles pourraient contribuer au problème.
Environ 60% des dirigeants de la cybersécurité disent que leurs entreprises manquent de personnel, selon ISACA (Association d’audit et de contrôle des systèmes d’information) dans son neuvième enquête annuelle sur l’État de cybersécurité auprès de plus de 2 000 chefs d’entreprise dans le monde. Aux États-Unis seulement, plus de 450 000 positions de cybersécurité ne sont pas remplies, selon Cyberseek.
Les postes restent ouverts même si près de 40% des répondants disent que leurs organisations connaissent plus de cyberattaques qu’un an plus tôt, et 31% disent que le nombre d’attaques est resté le même.
Jonathan Brandt, directrice des pratiques professionnelles et de l’innovation chez ISACA, a décrit le grand nombre d’ouverture comme une «blessure auto-infligée» par les entreprises.
Pour plonger plus profondément dans le problème des postes non remplis, Isaca a pour la première fois demandé aux répondants s’ils cherchaient des travailleurs pour des postes expérimentés ou des emplois d’entrée de gamme.
Environ 50% ont déclaré qu’ils avaient des ouvertures pour des emplois au niveau de l’expérience, tandis que 21% cherchaient à occuper des postes de niveau d’entrée.
Brandt a été étonné que 38% des répondants aient déclaré qu’il avait fallu trois à six mois pour combler un poste d’entrée de gamme, malgré le fait que les universités et les programmes techniques ont connu un nombre croissant de diplômés en cybersécurité.
« Vous plaisantez j’espère? » dit-il. «Quel est exactement le vrai problème?»
Le «choc des autocollants» des embauches d’entrée de gamme
Brandt estime qu’un problème clé dans le cyber l’embauche aujourd’hui concerne une notion déséquilibrée majeure promulguée par les chefs d’entreprise et leur personnel des ressources humaines. L’idée fausse? «Positions d’entrée de gamme», soupçonne-t-il, «ne sont pas vraiment d’entrée de gamme».
Il estime que parce que le démarrage des salaires de cybersécurité a tendance à être plus élevé, les gestionnaires d’embauche peuvent s’attendre à trop de qualifications lorsqu’ils interviewent des candidats à des emplois d’entrée de gamme. «C’est le choc des autocollants de ce qu’il en coûte pour embaucher quelqu’un», dit-il. Cela peut amener certaines entreprises à tenir une «licorne» pour justifier le salaire plus élevé.
Les attentes du ciel peut expliquer pourquoi seulement 26% des répondants à l’enquête disent qu’ils pensaient qu’au moins la moitié des candidats étaient bien qualifiés pour les postes qu’ils recherchaient. Lorsque les candidats récents à l’université ont échoué, il y avait des compétences telles que la communication, la pensée critique et le travail d’équipe, ont déclaré 68% des répondants. En comparaison, seulement 54% ont déclaré que les diplômés récents n’avaient pas les compétences de mise en œuvre des contrôles de sécurité qu’ils recherchaient.
Non seulement les professionnels de la cybersécurité expérimentés sont difficiles à trouver, mais ils sont également difficiles à conserver, selon l’enquête. Environ 56% ont déclaré avoir eu du mal à conserver des travailleurs qualifiés.
Concours via des avantages sociaux
Rendre l’embauche et la rétention plus difficile est une décision des entreprises pour réduire les avantages. Alors que 65% des employeurs remboursent les frais de certification, ce nombre a chuté d’un point de pourcentage par rapport à l’année précédente. Ceux qui offrent des primes de recrutement ont diminué de deux points de pourcentage, et ceux qui paient pour les frais de scolarité de l’université ont chuté de cinq points de pourcentage à 28%.
Isaca souligne que la réduction des avantages est répandue parmi les industries, pas quelque chose de spécifique à la cybersécurité, en raison de l’incertitude sur les conditions économiques.
Même ainsi, Brandt voit une principale occasion pour les entreprises de se distinguer des rivaux. Si une entreprise veut le meilleur talent et peut se le permettre, dit-il, il peut dire: «Nous pouvons nous permettre de jeter un peu plus d’argent.»
D’autres façons dont une entreprise peut compenser les avantages coûteux est d’être plus flexible avec les mandats de retour au travail. Environ 28% des répondants ont déclaré que les limites du travail à distance étaient la cause probable de quitter un emploi, en hausse de quatre points de pourcentage par rapport à l’année précédente.
Les entreprises qui manquent de personnel doivent être un peu plus accommodantes, surtout en ce qui concerne les incitations non monétaires, dit Brandt.
Pour l’instant, la formation du personnel non à sécurité pour passer aux rôles de sécurité continue d’être le principal moyen de gérer les pénuries de personnel, selon l’enquête ISACA. Moins d’entreprises ont déclaré avoir fait venir des entrepreneurs et des consultants pour combler les lacunes par rapport à l’année dernière.
Le bord dex
Une façon dont les entreprises pourraient avoir un avantage dans l’embauche de cyber-talents de haut niveau ou d’attirer le personnel non sécurité à la sécurité consiste à améliorer l’expérience des employés numériques (DEX), c’est ainsi que les employés interagissent avec les outils numériques qu’ils utilisent dans leur travail. Une solution DEX surveille les performances des appareils au point de terminaison pour suivre, entre autres, l’utilisation du processeur, le débit et l’espace disque libre, puis s’efforce d’augmenter l’efficacité de la technologie. L’objectif est de réduire la frustration et l’insatisfaction des employés à l’égard de leur lieu de travail.
Les entreprises qui deviennent connues pour leurs programmes DEX peuvent être en mesure d’embaucher des talents de haut niveau des rivaux et / ou de louer de l’intérieur si le personnel actuel savait qu’il n’y aura pas d’obstacles technologiques.
Dex est suffisamment nouveau pour que l’enquête ISACA n’inclut aucune question Dex spécifique, mais Brandt dit que l’association mène des recherches pour voir quel impact il peut avoir. La mise en œuvre varie selon les entreprises, ce qui rend les comparaisons difficiles, mais tout ce qui aide à lisser l’utilisation de la technologie au travail est tenu d’améliorer l’expérience et la sécurité des employés.
Les procédures et les systèmes de cybersécurité, «que nous voulions l’admettre ou non, ne soient gênants» pour certains travailleurs qui recherchent la voie de la moindre résistance, dit Brandt.
Les employés peuvent être laxistes dans la modification des mots de passe régulièrement, rechercher des solutions de contournement pour éviter certaines procédures de sécurité ou utiliser des appareils non autorisés qu’ils trouvent plus pratiques. L’accent mis sur la Dex qui mène à une utilisation plus facile de la technologie peut réduire de telles actions et conduire à un meilleur engagement des employés.
L’histoire importante au cours des prochaines années sera la tentative de combler les nombreuses positions ouvertes de niveau d’entrée, prédit Brandt. Les entreprises des régions loin des zones à coût élevé telles que le couloir moyen-atlantique peuvent être en mesure d’attirer des candidats à des salaires de départ plus bas en échange de nécessiter moins de qualifications.
«Tout le monde doit commencer quelque part», explique Brandt. De plus, ISACA a récemment publié la version 2024 du même rapport, ce qui aide à faire la lumière sur les lacunes dans les domaines de compétences clés et les effets de l’IA sur les professionnels de la cybersécurité.
Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.
