Si la prise de conscience collective sur les enjeux de cybersécurité est indéniable, force est de constater que les efforts continuent d’être déséquilibrés entre les solutions technologiques et la montée en compétence du capital humain. Pourtant, on n’a de cesse de le répéter: le maillon faible de la chaîne reste et demeure l’humain.

La pénurie de main-d’œuvre qualifiée en cybersécurité aujourd’hui est toujours un problème pour les entreprises de tous secteurs et de toutes tailles. Que ce soit d’ailleurs pour l’ISACA1 qui a constaté qu’environ 60% des organisations ont des postes vacants en cybersécurité, ou pour l’ISC², qui estime que la pénurie mondiale actuelle est supérieure à 4 millions de professionnels, le message est clair: engagez-vous en cybersécurité.

Cette pénurie doit être analysée à travers deux prismes: un quantitatif et un qualitatif. La question quantitative est liée à l’offre insuffisante de professionnels pour sécuriser les projets numériques, tandis que la question qualitative porte sur l’insuffisance des compétences requises. Voici quelques pistes à envisager pour y répondre.

Mobiliser un système éducatif vaste et varié

L’une des remarques récurrentes de l’industrie est le manque d’expérience pratique chez les jeunes diplômés, particulièrement chez les universitaires. Les causes profondes d’un tel écart sont le coût et la complexité de fournir aux étudiants une expérience pratique, tout en ne diluant pas la valeur éducative des diplômes.

Il est indispensable que l’industrie soit davantage actrice face cette problématique, favorisant le dialogue avec les responsables des programmes universitaires, spécifiant les compétences-clés attendues sur le marché du travail et enfin proposant des solutions innovantes pour soutenir la formation du public académique. On attend plus et mieux de l’industrie que de simplement concourir à la chasse annuelle aux talents fraîchement diplômés.

Ensuite, l’accent mis sur l’enseignement universitaire occulte, par rebond, d’autres alternatives qui devraient être beaucoup plus valorisées comme l’apprentissage ou les formations en continu que suivent certains profils lors de leur parcours professionnel.

Enfin, d’autres initiatives séduisantes pourraient également être intensifiées, comme ces entreprises ou organisations qui consacrent du temps à communiquer dès le lycée sur l’importance de la cybersécurité et ses options de carrière. Des élèves informés et encouragés peuvent commencer à développer des compétences importantes très tôt.

Promouvoir la diversité

La diversité est un problème qui préoccupe la communauté technologique dans son ensemble et la cybersécurité ne fait pas exception. Mais l’industrie cyber devrait à plus forte raison recruter un panorama large de profils, car c’est une condition sine qua non pour contrer efficacement les menaces.

Les méthodes d’attaque gagnent en créativité chaque jour, élargissant le paysage des expertises nécessaires pour y faire face. Bénéficier d’une équipe variée devient donc déterminant dans la découverte des tactiques et des techniques inhabituelles. Les équipes composées de personnes de divers horizons – professions antérieures, éducation, formations et compétences – sont souvent plus innovantes car elles mélangent les points de vue et domaines d’expertise.

La diversité n’est donc pas une option. Elle est simplement la meilleure réponse possible, implémentant le concept de defense in depth à l’échelle de l’humain: varier les défenses pour augmenter la résilience et la sécurité globale des systèmes.

S’exercer encore et encore

La montée en compétence s’effectue aujourd’hui principalement au travers de formations dites conventionnelles (incluant une part variable d’exercices pratiques). Il est essentiel que nos programmes proposent plus régulièrement des mises en situation dans des contextes opérationnels proches du réel.

Le domaine de la défense doit être ici une source d’inspiration. L’entraînement fait partie de la vie des organisations militaires, et permet de préparer les soldats au combat. Ces exercices, où les tactiques et les réponses sont répétées à de multiples reprises dans des environnements représentatifs, garantissent le niveau de performance nécessaire en cas d’attaque.

Cette approche se fait déjà de plus en plus prégnante pour renforcer la résilience au sein d’infrastructures gouvernementales et dites de services essentiels. Des solutions de type cyber-range sont par exemple déployées, vastes bancs d’essai qui permettent des jeux de guerre et des simulations visant à renforcer les compétences et les défenses en cybersécurité.

Ce type d’initiatives illustre parfaitement l’équilibre vers lequel il nous faut tendre entre technologie et capital humain. Car c’est bien une combinaison harmonieuse entre ces deux aspects qu’il est nécessaire de mettre en place. Trop régulièrement, l’intelligence artificielle et ses promesses sont mises en exergue comme la réponse d’avenir à nos carences en professionnels de cybersécurité. La vérité est que le futur sera beaucoup plus nuancé.

S’il est essentiel que la technologie soit source d’innovation, elle ne doit pas en avoir le monopole. Innover dans la manière d’enrichir et de bonifier notre capital humain sera tout aussi indispensable afin de sécuriser nos infrastructures digitales de demain.

Cet article a été rédigé pour de l’édition magazine de  qui est parue le 17 décembre 2020.

Le contenu du magazine est produit en exclusivité pour le magazine, il est publié sur le site pour contribuer aux archives complètes de Paperjam.

Votre entreprise est membre du Paperjam Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via