L’univers de la cybersécurité est particulièrement concurrentiel, compte tenu de la pénurie de compétences.
Le rapport d’études Security Architect Skill Gap de Fortinet livre une information pertinente pour maîtriser l’impact de la pénurie de compétences.
Les entreprises se sont investies pour pourvoir leurs postes vacants en cybersécurité, recherchant des professionnels présentant un profil adapté pour piloter les tâches techniques de sécurité et faciliter l’atteinte des objectifs métiers. Alors que les cybercriminels continuent à concevoir des attaques sophistiquées et que les dirigeants d’entreprise entendent mener à bien leurs projets de transformation numérique, une équipe de sécurité compétente et outillée de manière adéquate est nécessaire à la pérennité des entreprises. Ces deux tendances redéfinissent les compétences et le savoir-faire recherchés par les DSSI et autres dirigeants lorsqu’ils recrutent des professionnels de la cybersécurité.
Fortinet, expert mondial en solutions de cybersécurité automatisées, intégrales et intégrées, dévoile aujourd’hui son rapport « Understanding the Cybersecurity Skills Shortage » dans lequel l’entreprise revient sur les compétences personnelles, professionnelles et relationnelles requises par les entreprises en matière de cybersécurité.
Une nouvelle étude sur le processus de recrutement des architectes en sécurité
Les architectes en sécurité, chargés de concevoir des infrastructures de sécurité capables de neutraliser les menaces, mais aussi de les anticiper, a traditionnellement attiré des candidats présentant des compétences, pour l’essentiel, techniques. Cependant, les DSSI s’intéressent davantage aux profils qui associent savoir-faire et savoir-être, comme le souligne une récente étude de Fortinet.
Les compétences qu’attendent les DSSI de la part des architectes en sécurité
Les DSSI ont pour ambition de mettre sur pied une équipe de sécurité composée de professionnels capables de combattre les cyberattaques modernes et sécuriser la transformation numérique de leur entreprise. Ils recherchent des compétences techniques et personnelles, stratégiques et analytiques, en complément d’un savoir–faire plus traditionnel orienté design et configuration. Ces exigences, si elles varient selon les spécificités de chaque entreprise, présentent néanmoins des tendances communes.
Savoir-faire : les compétences techniques et opérationnelles
Les DSSI recherchent des candidats compétents dans la gestion des risques et la mise en œuvre des normes de sécurité, mais aussi capables de comprendre les objectifs métiers de l’entreprise pour les retranscrire en pratiques de sécurité. Ces compétences sont plus souvent mentionnées dans les annonces de recrutement pour des postes d’architecte en sécurité, aux côtés de connaissances opérationnelles en matière de chiffrement, de pare-feu ou de fonctions de sécurité.
Ceci indique un besoin de se focaliser sur la sécurité, mais aussi sur les priorités métiers d’entreprise. Pour autant, les DSSI restent à la recherche de compétences techniques et d’une expérience sur des systèmes spécifiques.
Voici les principales compétences techniques que recherchent les entreprises pour un poste d’architecte en sécurité:
o Architecture de l’écosystème de sécurité
o Gestion des risques
o Intégration
o Normes de sécurité
o Chiffrement
o Pare-feu
o Fonctions de sécurité
Savoir-être : les compétences personnelles et relationnelles
Alors que les équipes de sécurité jouent un rôle plus important au niveau des différents métiers de l’entreprise, les DSSI recherchent également des candidats avec des compétences humaines éprouvées dans leurs relations avec les départements métiers. Ainsi les annonces pour des postes d’architectes en sécurité et les CV soumis en retour sont généralement catégorisés selon 4 critères :
o Analytique : analyse, étude et résolution de problématiques
o Leadership : planification, encadrement et pilotage
o Caractéristiques personnelles : intégrité, focus
o Communication/relations humains : compétences interpersonnelles, collaboration, communication
Autres facteurs
Au-delà des compétences techniques et humaines, ce sont d’autres critères qui sont recherchés chez les candidats postulant à des postes d’architectes en sécurité, parmi lesquels la formation et les certifications, et, d’autre part, l’expérience professionnelle.
Concrètement, les organisations s’attendent à ce que les architectes en sécurité soient diplômés d’un Bachelor, mais n’exigent pas forcément un diplôme au-delà de ce niveau. Les employeurs sollicitent souvent deux certifications à minima, dans des domaines correspondant aux besoins spécifiques des postes à pourvoir.
L’expérience professionnelle est prise en compte lors des recrutements. Nombre de candidats à des postes d’architectes en sécurité sont en milieu de carrière, et travaillent en moyenne depuis 18,8 ans. Le rapport pointe que les nombreux changements d’emplois sont une problématique qui résulte d’une chasse aux candidats plus marquée, compte tenu de la pénurie de talents. En moyenne, un candidat a assumé 1,8 poste au cours des deux dernières années. Cette information incite les DSSI à mieux fidéliser leurs collaborateurs dans un secteur où l’emploi est dynamique.
Un fossé de compétences entre les recruteurs et les candidats
Les données du rapport, révélées par l’analyse de milliers d’annonces d’emploi d’architectes en sécurité et des CV en réponse, ont également permis d’identifier une certaine divergence entre les compétences recherchées par les DSSI et la façon dont les candidats se mettent en avant dans leur CV et leur lettre de motivation. Ces divergences portent aussi bien sur les compétences techniques que personnelles.
Plutôt que de mettre l’accent sur les compétences stratégiques comme la gestion des risques, les candidats ont tendance à ne mettre en avant que les technologies et systèmes spécifiques qu’ils connaissent (SQL, Oracle, VPN…). De plus, les candidats mettent en avant leurs connaissances des normes sectorielles, comme ISO et NIST, mais n’illustrent pas comment ils appliquent ces stratégies dans le cadre de leur métier. En réalité, moins de la moitié des candidats présentent leurs compétences stratégiques dans leur CV.
Bien que nombre de candidats mettent en avant des qualités de leadership, ils n’insistent pas suffisamment sur d’autres compétences personnelles pourtant essentielles. Les candidats mentionnent le leadership et la planification dans leur CV en pensant que c’est ce que recherchent essentiellement leurs employeurs potentiels. Cependant, au-delà de ces compétences, la majorité des employeurs sont demandeurs de compétences analytiques et de communication.
Perspectives
Les métiers de la sécurité évoluent de leur rôle opérationnel traditionnel, en intégrant une dimension plus stratégique. Il s’agit donc, tant pour les DSSI que pour les candidats, de repenser la meilleure façon de présenter les besoins et les qualifications.
C’est dans cette optique qu’il devient possible de garder la main sur la pénurie de compétences, en s’assurant que les professionnels de sécurité mettent en avant les expériences les plus pertinentes pour les entreprises qui souhaitent renforcer leur savoir-faire en sécurité.
Les DSSI ont pour ambition de mettre en place des équipes de sécurité disposant de compétences techniques et relationnelles pertinentes, mais, au-delà, ils doivent s’assurer que ces équipes s’engagent dans une approche architecturale à la sécurité, à l’heure où les menaces deviennent plus sophistiquées et que la transformation numérique est en cours.