Pour construire une main-d’œuvre future plus forte, les CISO doivent hiérarchiser la résolution de problèmes par rapport aux connaissances techniques existantes, tout en élargissant leur recherche de talents au-delà des pipelines traditionnels.
Le travail d’équipe, la résolution de problèmes et la réflexion analytique dépassent les compétences techniques de base telles que la sécurité des données et la sécurité du cloud comme critères pour l’embauche du personnel de cybersécurité d’entrée de gamme aujourd’hui, selon un rapport d’ISC2.
L’étude des tendances de l’embauche de cybersécurité de la formation en cybersécurité et de l’organisation de certification a également révélé que le rôle croissant de l’IA dans la cybersécurité change les priorités d’embauche, les gestionnaires accordés à une plus grande valeur sur les compétences humaines que l’intelligence artificielle ne peut pas reproduire.
L’étude – sur la base d’une enquête auprès des 929 gestionnaires d’embauche d’entreprises au Canada, en Allemagne, en Inde, au Japon, au Royaume-Uni et aux États-Unis – a examiné les compétences, les attributs et les responsabilités des responsables de l’embauche de cybersécurité, les responsables de la sécurité en début de carrière et de niveau d’entrée, car ces rôles, subissant une désintéressement de l’IA, continuent de développer des stratégies de défense de cybersécurité à long terme.
Critères d’embauche en flux
« Comme la sécurité ne se limite plus à l’équipe informatique, les cyber-professionnels doivent travailler en étroite collaboration avec les opérations juridiques, les RH et même le marketing, ce qui rend les compétences générales essentielles », a déclaré Gaibee. «Ils veulent des penseurs stratégiques qui peuvent intégrer la sécurité dans chaque partie de l’organisation.»
Gaibee a continué: «Une plus grande priorité est également donnée à de solides compétences en communication – en particulier avec les parties prenantes non techniques, la résolution de problèmes dans des environnements en évolution rapide, la collaboration entre les départements, l’adaptabilité et la pensée stratégique sont également élevées sur la liste.»
Gregory Rouvelin, directeur du marketing chez employers.io, une plateforme qui donne un aperçu des tendances de l’embauche de l’industrie, a ajouté que «les compétences techniques comptent toujours, mais avec l’IA gère désormais beaucoup de surveillance et de détection de routine, les employeurs accordent une plus grande valeur aux capacités humaines.»
Alors que les CISO ont recommandé de plus en plus d’embauche pour souligner les compétences en matière de diplômes, les professionnels en début de carrière devraient étendre leur apprentissage au-delà des simples certifications, a conseillé Rouvelin.
« La démonstration de la pensée analytique et du travail d’équipe dans des contextes pratiques est désormais tout aussi précieuse que de répertorier les modules de sécurité du cloud sur un CV », a déclaré Rouvelin. «Les employeurs recherchent activement cet équilibre parce que c’est là que l’IA ne peut pas rivaliser.»
Le piège de certification et les pipelines cassés
D’autres experts ont fait valoir que la dépendance excessive à l’égard des CV et des certifications est l’un des plus grands obstacles à l’embauche de succès en cybersécurité, car il agit pour éliminer les candidats autrement qualifiés.
«Malgré une expérience et des perspectives précieuses, les personnes ayant 10 ans d’expérience professionnelle sont reportées parce que l’accent est mis sur les certifications», a déclaré Kieran Rowley, directeur de la communauté de la société de formation des compétences en cyber «Il est absurde qu’une industrie confrontée à une pénurie de compétences néglige le talent simplement parce que les candidats n’ont pas les« bons »examens».
Rowley a ajouté: « Un diplôme de cybersécurité ne garantit pas le meilleur ajustement. »
Raghu Nandakumara, vice-président de la stratégie de l’industrie chez le fournisseur de cybersécurité Illumio, a déclaré que l’absence d’une voie claire de l’éducation à l’emploi agit comme un obstacle à l’entrée dans la profession et, par conséquent, contribuant à l’écart des cyber-compétences.
Bien que les apprentissages et les stages soient précieux, il n’y en a tout simplement pas assez, selon Nandakumara.
«Les petites organisations n’ont pas les ressources pour offrir de tels régimes, et le gouvernement doit intervenir pour soutenir ces initiatives ou encourager des organisations plus grandes à les adopter», a ajouté Nandakumara.
Chris Wysopal, évangéliste en chef de la sécurité chez Veracode, a fait valoir que le «pipeline d’entrée de gamme en cybersécurité est rompu».
« Beaucoup des meilleurs praticiens potentiels ne sont pas des types universitaires, mais des talents non conventionnels comme les joueurs, les constructeurs et les penseurs profonds trouvés dans les communautés en ligne », a déclaré Wysopal.
Selon Wysopal, criminaliser le comportement de hacker est une décision à courte vue qui coûte à l’industrie la possibilité de recruter plus que des candidats viables.
« En ce qui concerne le piratage, tous les adolescents qui ont incité quelqu’un à remettre un mot de passe ne devraient pas être qualifiés de criminel à vie », a expliqué Wysopal. «Nous devons faire la distinction entre la véritable cybercriminalité et la curiosité jeune, ce dernier devrait être recherché dans le recrutement du cyber.»
L’effet d’IA
Le cyber-talent a toujours été en forte demande, mais cela s’est intensifié avec des menaces augmentant à la fois en fréquence et en gravité. L’écart mondial des compétences en cybersécurité est estimé à 4,8 millions, soit une augmentation de 19% par rapport à 2024.
«En abordant ces pénuries de compétences, nous voyons plus d’organisations se tourner vers l’IA pour faire une partie du gros du travail, par exemple, dans la détection et le résumé des menaces précoces», explique Gaibee de Harvey Nash. «Cela ne remplace pas le besoin de cyber-talents, offrant simplement un moyen efficace de gérer les menaces toujours croissantes.»
L’utilisation accrue de l’IA modifie le profil des candidats à la demande, selon Harvey Nash et d’autres experts de l’industrie.
Les compétences informatiques changeront, plutôt que d’être remplacées, car l’IA prend en charge plus de tâches répétitives, selon une récente enquête du fournisseur de logiciels de gestion informatique Manage Engine.
Ainsi, bien que les compétences techniques soient toujours un problème clé pour les lacunes en matière de cyber-compétences, car l’IA assume des tâches plus techniques, le mélange de compétences Les CISO sont de plus en plus incluent la résolution de problèmes, la pensée analytique et l’éventail des compétences humaines nécessaires pour assurer une culture de cybersécurité robuste à travers l’entreprise.
Élargir les piscines de talents
Rob Demain, PDG de la société de détection et de réponse gérée E2E-Assure, a déclaré que le vendeur avait modifié son processus d’embauche pour le rendre plus inclusif. En conséquence, une main-d’œuvre sur 10 de l’assurance E2E s’identifie comme neurodiverse – un bassin de talents souvent négligé pour la cybersécurité.
«Leurs forces en matière de reconnaissance de motifs, de logique créative et d’attention aux détails met directement les capacités que l’ISC2 souligne comme la plupart en demande et fait de nous un partenaire plus fort pour nos clients», a expliqué Demain.
Hannah Roome, responsable de l’acquisition de talents chez la société de services de cybersécurité, Bridewell, a déclaré que le vendeur essayait activement d’augmenter la diversité et d’élargir sa portée d’embauche en atteignant les universités, les groupes industriels et ceux qui recherchent un changement de carrière.
«Nous offrons des ateliers, des présentations et des questions et réponses aux écoles, aux collèges, aux universités et aux organisations d’adhésion professionnelles telles que SANS, WICYS (femmes en cybersécurité), Techvets et le partenariat de transition professionnelle, qui soutiennent tous deux ceux qui quittent l’armée», a déclaré Roome. «Beaucoup de ces écoles et collèges soutiennent les communautés défavorisées à partir d’un ensemble diversifié d’horizons.»
Nandakumara d’Illicio a fait valoir que plutôt que de se concentrer sur les connaissances techniques préexistantes chez les candidats, l’embauche de cybersécurité devrait se concentrer sur la créativité, la pensée critique et la volonté d’apprendre.
«Ces compétences sont beaucoup plus difficiles à enseigner que celles techniques», a expliqué Nandakumara. «En valorisant les aptitudes et les expériences diverses, l’industrie peut attirer des talents non traditionnels et créer une main-d’œuvre plus inclusive.»
