L’étude annuelle de l’ISC2 (International Information System Security Certification Consortium), une organisation internationale de certification, fait un état des lieux intéressant sur les équipes de cybersécurité et leurs responsables. Le constat de l’édition 2024 de l'étude confirme et prolonge les tendances lourdes dans ce domaine. À savoir qu’il existe encore trop peu de compétences pour répondre à la demande
en matière de cybersécurité.
Début 2024, le cabinet de recrutement Hays publiait une enquête internationale auprès de plus de 1 000 RSSI montrant que leur entreprise ne parvient pas à attirer les talents en cybersécurité. Une étude récente de Kaspersky montrait que plus de la moitié des professionnels européens de la cybersécurité admettaient avoir commis des erreurs au début de leur carrière en raison d’un manque de connaissances théoriques ou pratiques.
Selon l’étude de l’ICS2, les RSSI estiment que leurs équipes ne sont pas assez nombreuses ou ne disposent pas des compétences nécessaires pour atteindre leurs objectifs. L'état global de l'économie a induit une réduction de personnel et du budget et les répondants estiment que leurs équipes ne sont pas assez nombreuses ou ne disposent pas des compétences nécessaires pour atteindre leurs objectifs.
Plus précisément, près de 60 % des personnes interrogées reconnaissent que les lacunes en matière de compétences ont eu un impact significatif sur leur capacité à sécuriser l'organisation. Et 58 % d'entre elles déclarent que cela fait courir un risque important
à leur organisation.
Les compétences techniques et non-techniques les plus recherchées
La formation et les compétences techniques ne sont qu’une partie du problème. D’autres savoir-faire non-techniques pèsent tout autant et sinon plus dans les performances des équipes de cybersécurité. Le graphique ci-dessous cite, dans l’ordre, les capacités à résoudre les problèmes, les aptitudes à travailler en commun, la curiosité et l’envie d’apprendre, les dispositions à communiquer, ainsi que les compétencesen sécurité du cloud.
D’autres défis et contraintes s’ajoutent au cœur de métier des RSSI comme les nombreuses obligations légales à respecter les règlements européens assortis de sanctions tels le NIS 2, Dora et autres. Leur mise en place empiète sur les autres tâches du personnel
dans ce domaine.
Les enjeux de responsabilité opérationnelle et juridique ne sont pas négligeables. Pour preuve, fin 2023, la SEC qui contrôle les marchés financiers américains, a inculpé le Pdg de SolarWinds et son RSSI, de fraude et de défaillance du contrôle interne. L’IA générative est un paramètre supplémentaire à gérer à court et moyen termes. Il s'agit, entre autres, d'identifier les compétences qui pourraient être automatisées ou rationalisées.
L'IA générative (IAGen) présente des avantages et des défis pour la cybersécurité. Ainsi,
45 % des équipes de cybersécurité ont intégré l'IAGen dans leurs outils, mais elles ne doivent pas s’attendre à une solution miracle pour combler les lacunes en matière de compétences. D'autre part, 64 % des organisations interrogées ont mis en œuvre l'IAGen pour les équipes de cybersécurité. Par ailleurs, plus de la moitié de ces dernières ont déjà été confrontées à des problèmes de confidentialité et de sécurité des données en raison de l'adoption de l'IA générique par l'organisation.
