Une nouvelle étude de l'ISC2 montre que la croissance de la main-d'œuvre mondiale dans le domaine de la cybersécurité a stagné à 5,5 millions de personnes, alors que l'on estime à 10,2 millions le nombre de professionnels nécessaires pour sécuriser efficacement les organisations. Cet écart de 4,8 millions représente une augmentation de 19 % d'une année sur l'autre. L'enquête menée auprès de près de 16 000 praticiens et décideurs du monde entier dans le domaine de la cybersécurité montre que, pour la première fois, les participants citent le "manque de budget" comme la principale cause de leur pénurie de personnel.
Alors que 74 % des professionnels reconnaissent que le paysage des menaces en 2024 est le plus difficile des cinq dernières années, les pressions budgétaires sur les effectifs de la cybersécurité comprennent 37 % de réductions budgétaires (en hausse de 7 % par rapport à 2023). 25 % d'entre eux ont procédé à des licenciements au sein de leur équipe de cybersécurité (en hausse de 3 %), 38 % ont gelé les embauches (en hausse de 6 %) et 32 % ont constaté une diminution des promotions (en hausse de 6 %).
Outre la pénurie de main-d'œuvre, 90 % des personnes interrogées déclarent être confrontées à une pénurie de compétences au sein de leur organisation. Plus de la moitié des personnes interrogées (58 %) pensent qu'une pénurie de compétences fait courir un risque important à leur organisation, et 64 % déclarent que les lacunes en matière de compétences représentent un plus grand défi pour la sécurité de leur organisation que les pénuries de personnel.
Le manque de nouveaux talents est également un problème : 31 % des participants déclarent que leurs équipes de sécurité n'ont pas de professionnels débutants, et 15 % déclarent qu'ils n'ont pas de professionnels débutants (un à trois ans d'expérience). En outre, les responsables du recrutement - dont 62 % ont actuellement des postes à pourvoir dans leurs équipes - se concentrent sur le recrutement de personnes de niveau moyen ou avancé plutôt que sur un large éventail d'expériences et de compétences.
Etude 2024 de l'ISC2 sur la main-d'œuvre en cybersécurité
En 2024, les professionnels de la cybersécurité ont été confrontés à une série de problèmes qui ont eu un impact sur les rôles et les responsabilités dans tous les types d'organisations. Les pressions économiques, les problèmes géopolitiques mondiaux, les perturbations de la chaîne d'approvisionnement, l'échec des mises à jour logicielles et l'automatisation et la numérisation croissantes des tâches de cybersécurité ont mis en évidence la nature critique de la cybersécurité pour les entreprises et ont permis aux professionnels de mettre en avant leurs compétences et leur expertise pour protéger les organisations. Cependant, malgré le besoin évident et la reconnaissance de la valeur ajoutée de la cybersécurité pour les organisations, l'étude de l'ISC2 montre la main-d'œuvre active mondiale dans le domaine de la cybersécurité s'est arrêtée à 5,5 millions de personnes.
Dans son étude 2024 sur la main-d'œuvre en cybersécurité, l'ISC2 examine plus en détail les pénuries de compétences en cybersécurité et les facteurs de risque organisationnels qui en découlent. Ils examinent également comment la taille de la main-d'œuvre active et le déficit de main-d'œuvre contribuent au défi auquel sont confrontés les employeurs et les professionnels. Cela permet d'avoir un aperçu des raisons des pénuries de compétences, des pénuries de personnel et les disparités dans l'offre de compétences signalées par les répondants. Les employeurs doivent prendre dès maintenant des mesures de grande envergure afin d'éviter une crise potentielle des capacités en matière de cybersécurité dans les secteurs privé et public.
Pour son étude, l'ISC2 a interrogé 15 852 praticiens et décideurs en matière de cybersécurité dans le monde entier, avec des réponses provenant d'Afrique, d'Asie-Pacifique, d'Europe, d'Amérique latine, du Moyen-Orient et d'Amérique du Nord.
Andy Woolnough, vice-président exécutif des affaires générales de l'ISC2, commente l'étude :
L'étude de l'ISC2 sur la main-d'œuvre en cybersécurité met en évidence une perception préoccupante parmi les professionnels de la cybersécurité. Après deux années de baisse des investissements dans l'embauche et les opportunités de développement professionnel, les organisations sont maintenant confrontées à d'importantes pénuries de compétences et de personnel - un problème qui, selon les professionnels, augmente le risque global. À une époque où l'instabilité mondiale et les technologies émergentes comme l'IA augmentent rapidement le paysage des menaces, l'investissement dans le développement des compétences et la prochaine génération de la main-d'œuvre cybernétique est plus crucial que jamais. Cela permettra aux professionnels de la cybersécurité de relever ces défis et de préserver la sécurité de nos actifs critiques.
Voici quelques points important de l'étude 2024 :
La main-d'œuvre active en cybersécurité
L'estimation mondiale de la main-d'œuvre active indique que la croissance de l'emploi est restée globalement stable au cours de l'année écoulée, à 5,5 millions, ce qui crée un point de pression considérable face à l'augmentation des besoins perçus. L'augmentation n'est que de 0,1 % par rapport à 2023, ce qui représente une augmentation de 8,7 % par rapport à l'année précédente.
Si l'on peut affirmer que ces chiffres reflètent la stabilité générale des effectifs de la cybersécurité face aux pressions économiques et de rétention de la main-d'œuvre dans tous les secteurs, ils mettent également en évidence une pénurie préoccupante de points d'entrée pour les nouveaux talents et un manque d'opportunités pour remédier aux pénuries de compétences et de personnel grâce à de nouveaux talents et à la formation en cours d'emploi.
Les données suggèrent que les préoccupations économiques et la croissance mondiale de l'automatisation n'ont pas eu d'impact sur la main-d'œuvre existante dans le domaine de la cybersécurité, comme c'est le cas pour d'autres secteurs tels que l'industrie manufacturière et l'hôtellerie-restauration. La taille statique de la main-d'œuvre dans le domaine de la cybersécurité, compte tenu des variations régionales, suggère que les fonctions existantes ne sont pas perdues en raison de la réduction des coûts dans la même mesure que dans d'autres domaines, mais qu'à tout le moins, cela a annulé toute nouvelle croissance nette de l'emploi.
Elle souligne également l'importance de continuer à créer des opportunités d'emploi pour la prochaine génération de professionnels à entrer sur le marché du travail, tout en améliorant les compétences des professionnels existants avec les capacités appropriées pour répondre aux besoins de l'organisation.
Des données supplémentaires fournies par le réseau social professionnel LinkedIn vont dans le même sens, en montrant que le nombre de nouvelles offres d'emploi dans le domaine de la cybersécurité a diminué de 5,4 % en glissement annuel aux États-Unis, de 4,9 % à Singapour, de 4,5 % en France, de 3,5 % au Canada et de 2,5 % au Brésil.
Les offres d'emploi au Royaume-Uni sont restées stables, tandis que l'Allemagne et l'Australie n'ont enregistré qu'une hausse de 1 % des offres d'emploi. Les pays les plus performants en termes de croissance des offres d'emploi sont l'Espagne et le Mexique, avec des hausses de 5,5 % et 6,8 %, ce qui témoigne d'un effort concerté pour remédier à la faible croissance réelle de l'emploi et, dans le cas du Mexique, à la diminution de la taille de la main-d'œuvre.
En outre, l'analyse du marché de l'emploi en cybersécurité réalisée par LinkedIn montre que, malgré l'absence générale de croissance, la part de marché des offres d'emploi a connu une hausse prononcée dans les pays d'Amérique latine au cours des trois dernières années (Brésil : 11,2 % de croissance de la part globale des nouvelles offres d'emploi, Mexique : 3 %), ainsi qu'en Allemagne (11 %) et en Pologne (6,2 %).
Dans le même temps, la part du Royaume-Uni dans les offres d'emploi est restée stable, tandis que les États-Unis, l'Inde, le Canada, les Pays-Bas, l'Espagne, Singapour, la France et l'Italie ont tous vu leur part du nombre total d'offres d'emploi diminuer au cours des trois dernières années. Dans le cas de l'Italie, la baisse a été de 10 %, ce qui représente le plus grand changement négatif dans les données de LinkedIn.
La baisse des offres d'emploi est confirmée par les données de l'étude de l'ISC2, qui montre que les équipes de cybersécurité ont constaté au cours de l'année écoulée une réduction des possibilités d'embauche et d'avancement. À un moment où les organisations peuvent le moins se permettre les coûts, les perturbations et les atteintes à la réputation d'un incident de cybersécurité, la profession est soumise à la plus forte pression pour maintenir la sûreté et la sécurité avec moins de ressources :
- 39 % ont déclaré que le manque de budget était la principale raison des pénuries de personnel dans le domaine de la cybersécurité, remplaçant la pénurie de talents comme principale raison des pénuries de personnel.
- 25 % ont observé des licenciements (en hausse de 3 % par rapport à 2023)
- Plus d'un tiers (37%) ont noté des réductions budgétaires (+7% par rapport à 2023)
- Près de quatre répondants sur dix (38%) ont connu des gels d'embauche (+6% par rapport à 2023)
- Près d'un tiers (32%) ont constaté une baisse des promotions (+6% par rapport à 2023).
En outre, parallèlement à la stagnation de la croissance de la main-d'œuvre active, la comparaison d'une année sur l'autre montre que le niveau traditionnellement élevé de satisfaction professionnelle constaté dans le secteur de la cybersécurité est en baisse de 4 %. Toutefois, 66 % des participants étant toujours satisfaits de leur rôle, les employeurs peuvent tirer parti de cette situation pour recruter de nouvelles personnes dans la profession, si des possibilités d'emploi sont offertes.
Ensemble, ces données confirment que les responsables du recrutement, les dirigeants du secteur de la cybersécurité et leurs équipes doivent agir maintenant pour mieux aligner et développer les efforts de développement professionnel sur les déficits de compétences de l'organisation, afin de favoriser l'évolution de carrière et d'offrir de nouvelles opportunités à la prochaine génération de travailleurs.
Répartition de la main-d'œuvre
En examinant les 5,5 millions de travailleurs actuels par pays, on constate que les poches de croissance de la main-d'œuvre dans plusieurs économies majeures et en pleine croissance sont contrebalancées par des baisses dans certains des plus grands marchés pour les compétences en cybersécurité.
La main-d'œuvre active la plus importante reste celle des États-Unis, qui représente une opportunité de main-d'œuvre substantielle de 1,3 million de personnes malgré une baisse de 3 % d'une année sur l'autre. Une croissance significative de la main-d'œuvre a été observée au Moyen-Orient et en Afrique, l'Afrique du Sud (augmentation de 10,7 %), l'Arabie saoudite (augmentation de 10,9 %) et les Émirats arabes unis (augmentation de 3,4 %) ayant tous progressé d'une année sur l'autre.
L'Europe a connu des poches de croissance avec l'Irlande (augmentation de 5,8 %), les Pays-Bas (augmentation de 8 %) et la France (augmentation de 6,1 %) qui ont tous augmenté leurs effectifs en cybersécurité, même si, dans le cas de la France, le nombre d'offres d'emploi en cybersécurité selon LinkedIn a diminué.
L'Allemagne et le Royaume-Uni, qui constituent les deux plus grandes forces de travail dans le domaine de la cybersécurité en Europe continentale, ont connu une évolution marquée de la taille de leurs effectifs respectifs depuis 2019, selon les années précédentes de l'étude. Bien que cette période comprenne également l'impact anormal de la pandémie, elle met toujours en évidence une situation fluide dans laquelle les compétences en cybersécurité sont recrutées.
En Allemagne, la main-d'œuvre active dans le domaine de la cybersécurité a atteint le chiffre record de 464 782 en 2021, avant de diminuer légèrement chaque année pour s'établir à 439 243 en 2024. Le Royaume-Uni, quant à lui, comptait 300 087 personnes en 2021, la main-d'œuvre allemande dans le domaine de la cybersécurité ayant dépassé le Royaume-Uni pour la première fois dans cette étude. Les effectifs britanniques ont ensuite augmenté, atteignant un maximum de 367 300 en 2023, avant de diminuer de 4,9 % pour s'établir à 349 360 en 2024.
Parallèlement à la croissance au Moyen-Orient et en Afrique, la région Asie-Pacifique a également connu une croissance de la main-d'œuvre. L'Australie (augmentation de 5,5 %), le Japon (augmentation de 4 %), la Corée du Sud (augmentation de 3,3 %) et Singapour (augmentation de 1,3 %) ont contribué à une croissance globale de 3,3 % de la main-d'œuvre active dans la région Asie-Pacifique, pour atteindre un peu moins d'un million de personnes.
Cette main-d'œuvre dans le domaine de la cybersécurité bénéficie probablement d'une série de facteurs qui génèrent une croissance positive de l'emploi pour les professionnels de la cybersécurité. Il s'agit, du moins en partie, des perturbations géopolitiques et économiques accrues dans la région au cours de l'année écoulée, qui ont contribué à accroître la demande de professionnels qualifiés en cybersécurité dans le cadre d'une augmentation globale des investissements en matière de sécurité dans les secteurs public et privé.
Les deux régions les plus importantes en termes d'effectifs actifs dans le domaine de la cybersécurité - l'Amérique du Nord et l'Europe - ont vu leurs effectifs diminuer d'une année sur l'autre, malgré des poches de croissance en Europe. Près d'un quart des personnes interrogées en Amérique du Nord et en Europe ont déclaré que leur organisation avait procédé à des licenciements au sein de leurs équipes de cybersécurité au cours des 12 derniers mois. Bien que les trois quarts n'aient pas connu de licenciements dans le domaine de la cybersécurité, les données indiquent que les contraintes économiques limitent la volonté des organisations de continuer à investir dans leurs équipes de cybersécurité malgré les pénuries de personnel.
Par ailleurs, 29 % des personnes interrogées au Moyen-Orient et en Afrique ont déclaré que leur entreprise avait procédé à des licenciements dans le domaine de la cybersécurité au cours des 12 derniers mois, mais la région a continué à investir dans la main-d'œuvre, ce qui lui a permis d'enregistrer le pourcentage de croissance le plus élevé de l'étude, avec une augmentation de 7,2 % pour atteindre 431 302 personnes. À l'instar de l'Europe, la taille de la main-d'œuvre en Amérique latine est restée globalement stable, avec une baisse de seulement 0,7 %.
Dans l'ensemble, le tableau montre que plusieurs marchés professionnels établis dans le domaine de la cybersécurité ont connu une baisse globale de leurs effectifs, la croissance des marchés émergents maintenant le statu quo mondial et déplaçant une plus grande partie de la base de compétences professionnelles vers différentes régions.
Comprendre l'impact de la pénurie de compétences sur les organisations et les professionnels
La pénurie de compétences clés dans plusieurs disciplines de la cybersécurité contribue largement à la manière dont les professionnels perçoivent l'impact de leur pénurie de main-d'œuvre. Cependant, l'étude constate également une divergence entre les compétences recherchées par les organisations et leurs services de ressources humaines, et les compétences que les professionnels de la cybersécurité estiment être en demande.
Il est particulièrement intéressant de noter que, bien que les professionnels mettent l'accent sur les compétences en communication (31 %), les compétences en cloud computing (30 %), l'IA (23 %) et la GRC (19 %), les responsables du recrutement n'accordent pas autant d'importance à ces compétences. Alors que les gestionnaires de recrutement accordent une priorité à peine inférieure aux compétences en communication (25 %), les compétences en informatique dématérialisée (19 %), les compétences en IA (12 %) et les compétences en GRC (13 %).
Certains secteurs présentent des déficits de compétences nettement plus importants dans certaines disciplines. Par exemple, les équipes de sécurité du secteur du conseil présentent les lacunes les plus importantes en matière d'IA. Les équipes de sécurité des secteurs de l'éducation, de l'administration et de l'armée affichent les lacunes les plus importantes en matière de mise en œuvre de la confiance zéro, tandis que les fournisseurs de services publics - infrastructures essentielles couvrant l'énergie, l'électricité et l'eau - et les équipes de sécurité de l'industrie manufacturière affichent collectivement les lacunes les plus importantes en matière de sécurité des technologies d'exploitation (OT), ce qui n'est pas négligeable étant donné que ces deux secteurs sont sans doute parmi les plus exposés aux nouvelles technologies d'exploitation et aux anciennes.
Dans l'ensemble, les données révèlent que 90 % des organisations ont des lacunes en matière de compétences au sein de leurs équipes de sécurité. En particulier, et bien qu'il ne s'agisse pas d'une priorité pour les responsables du recrutement, plus d'un tiers des personnes interrogées ont cité l'IA comme la plus grande pénurie de compétences dans les équipes. Viennent ensuite l'informatique en nuage (30 %), la confiance zéro (27 %), la réponse aux incidents (25 %), la sécurité des applications et les tests de pénétration (24 % chacun).
En fin de compte, les résultats soulignent que les professionnels de la cybersécurité doivent continuer à développer leurs compétences en obtenant des certifications et d'autres ressources éducatives qui les aideront à acquérir des compétences commercialisables aujourd'hui et à l'avenir. L'étude montre que la disparité entre la perception et la réalité de l'embauche crée une barrière à l'entrée des compétences, qui ne peut être surmontée qu'en ramenant les gestionnaires d'embauche et les professionnels de la cybersécurité sur le même chemin de compétences.
Les compétences techniques telles que l'IA, le cloud, la GRC et la confiance zéro doteront les professionnels de la cybersécurité de demain des capacités opérationnelles nécessaires à l'exécution de fonctions de cybersécurité complexes pour leurs organisations. Cependant, ces compétences doivent s'aligner sur les attentes et les besoins plus larges des gestionnaires de recrutement qui cherchent à compléter les capacités techniques par des compétences qui rendront les rôles de cybersécurité plus efficaces, mieux compris et plus collaboratifs aujourd'hui.
Si l'on examine la situation sous un angle différent, à savoir les secteurs qui sont confrontés à des pénuries de compétences en cybersécurité plutôt que les compétences technologiques qui doivent être renforcées, on constate que plusieurs industries clés sur le plan économique sont exposées à un risque accru de pénurie.
Presque toutes les personnes interrogées dans le secteur de l'éducation, soit 96 % d'entre elles, ont fait état de lacunes dans les compétences des équipes de sécurité. Ils sont 94 % dans la construction et les soins de santé, 93 % dans l'immobilier, 92 % dans les secteurs à but non lucratif, l'aérospatiale, les télécommunications et la R&D, ainsi que dans les secteurs de l'hôtellerie, des voyages et de l'administration. Les secteurs de la fabrication, de l'assurance et des infrastructures critiques sont également très touchés, 91 % des personnes interrogées citant des lacunes en matière de compétences.
Pour y remédier, les organisations et les responsables du recrutement doivent redoubler d'efforts pour recruter des professionnels débutants et développer leurs compétences fondamentales en interne dans le cadre d'un programme de recrutement plus large qui intègre à la fois le niveau débutant et une variété de niveaux d'expérience et de certifications sectorielles, reflétant le parcours professionnel que la plupart d'entre eux suivront au cours de leur vie professionnelle. Cela signifie qu'il faut développer des compétences en matière de leadership, de travail d'équipe, de communication et de réflexion stratégique, en plus des capacités techniques.
La disparité des compétences mise en évidence dans l'étude illustre la nécessité d'une formation tout au long de la vie dans le domaine de la cybersécurité, tout en soulignant les avantages, pour les individus, les organisations et la société dans son ensemble, d'une main-d'œuvre hautement qualifiée, efficace et proactive dans le domaine de la cybersécurité, capable de défendre et de protéger nos économies et nos vies numériques.
Risques liés au personnel
Une pénurie de personnel et de compétences en cybersécurité sur le lieu de travail crée des risques et une vulnérabilité au sein des organisations. L'incapacité à remplir pleinement les rôles et à obtenir les compétences nécessaires entraîne une augmentation de la charge de travail qui peut rendre les organisations vulnérables tant sur le plan de la sécurité que sur le plan financier.
Les données de l'étude annuelle 2024 du Ponemon Institute confirment que le coût direct moyen d'une violation en 2024 était de 4,88 millions de dollars, le coût moyen d'une attaque malveillante interne étant encore plus élevé (4,99 millions de dollars). L'augmentation moyenne des coûts permanents après une violation (coût d'atténuation de la fermeture de la porte après que le cheval s'est enfui) est d'environ 830 000 dollars. Ces chiffres illustrent le risque financier qui pourrait être réduit ou évité en améliorant à la fois les effectifs et les compétences.
Plus de deux tiers des personnes interrogées (67 %) ont fait état d'une certaine forme de pénurie de professionnels de la cybersécurité au sein de leur organisation. Conformément à la croissance stable de la main-d'œuvre active, ce chiffre n'a pas changé depuis 2023, reflétant le fait que l'absence de croissance des nouveaux emplois a eu un impact sur les progrès réalisés par les responsables du recrutement pour remédier aux pénuries critiques.
Plus de la moitié des personnes interrogées (58 %) ont déclaré qu'une telle pénurie de personnel qualifié fait courir un risque important à leur organisation. Ce chiffre ne représente qu'une augmentation de 1 % par rapport à 2023. Le fait qu'elle soit restée constante d'une année sur l'autre malgré un degré élevé d'inquiétude concernant le paysage des menaces suggère que les professionnels de la cybersécurité pourraient s'adapter à la pénurie de personnel et de compétences.
Quoi qu'il en soit, cette réponse est un appel important lancé aux organisations pour qu'elles réalisent les investissements nécessaires afin de relever les défis de la cybersécurité et de protéger les utilisateurs, les données, les systèmes et les chaînes d'approvisionnement grâce à des effectifs et à d'autres ressources adéquats.
Près d'un tiers (31 %) des participants ont déclaré que leurs équipes de sécurité ne comptaient aucun professionnel débutant et 15 % ont déclaré qu'elles ne comptaient aucun professionnel débutant (1 à 3 ans d'expérience). Bien que la présence de professionnels débutants et juniors au sein des équipes de sécurité augmente avec la taille de l'organisation, cela représente globalement une proportion élevée d'organisations qui ne disposent pas d'un pipeline de professionnels de la prochaine génération qui peuvent être formés pour répondre aux besoins spécifiques de l'organisation en matière de cybersécurité et qui peuvent apprendre de leurs pairs plus expérimentés avant qu'ils ne prennent leur retraite ou qu'ils ne quittent l'organisation.
Cette situation est exacerbée par le fait que les responsables du recrutement, dont 62 % ont actuellement des postes à pourvoir dans leurs équipes, privilégient les postes de niveau moyen à avancé plutôt qu'un large éventail d'expériences et d'aptitudes. Toutefois, il est encourageant de constater que les grandes entreprises (celles qui comptent plus de 5 000 employés) créent encore plus de postes de niveau débutant et intermédiaire que leurs homologues plus petites.
Les résultats de l'étude ont également révélé que 74 % des personnes interrogées ont déclaré que le paysage actuel des menaces est le plus difficile qu'elles aient connu au cours des cinq dernières années. Ce chiffre est comparable à celui de l'année dernière (75 %), ce qui confirme le degré élevé d'inquiétude et d'alerte des praticiens de la cybersécurité face aux défis et aux risques auxquels ils sont confrontés.
Le niveau de menace est étayé par d'autres sources de données, l'Agence américaine pour le développement international citant des chiffres qui évaluent le coût mondial de la cybercriminalité à 8 000 milliards de dollars en 2023, chiffre qui devrait atteindre 23 840 milliards de dollars en 2027. Si la main-d'œuvre active est stable au niveau mondial, cela ne signifie pas que le besoin global de professionnels de la cybersécurité est en baisse. En fait, les besoins n'ont jamais été aussi importants, ce qu'on peut observer à travers le déficit de main-d'œuvre dans le domaine de la cybersécurité.
Comprendre le déficit
Le déficit de main-d'œuvre mesure la différence entre le nombre de professionnels de la cybersécurité dont les participants à l'étude disent que leur entreprise a besoin pour se protéger correctement et le nombre de professionnels de la cybersécurité disponibles à l'embauche. Il ne s'agit pas d'une estimation des offres d'emploi actuelles pour les professionnels de la cybersécurité.
Comme l'a révélé l'étude, 90 % des personnes interrogées font état de pénuries de compétences dans leur entreprise, les deux tiers (64 %) considérant ces pénuries comme plus graves que les pénuries de personnel auxquelles elles sont confrontées, tandis que le tiers restant place les pénuries de compétences et de personnel sur un pied d'égalité en termes de criticité. Si la main-d'œuvre doit continuer à se développer, notamment par l'embauche de personnel débutant et subalterne, afin de former la prochaine génération de professionnels de la cybersécurité, l'amélioration des compétences et la polyvalence sont essentielles pour répondre aux besoins des employeurs et à l'évolution de leurs fonctions dans le domaine de la cybersécurité.
Alors que la croissance de la main-d'œuvre active est restée stable, le déficit de main-d'œuvre a augmenté de 19 % d'une année sur l'autre pour atteindre 4,8 millions. Cela équivaudrait à une main-d'œuvre théorique de 10,2 millions de personnes si tous les besoins en personnel étaient satisfaits en même temps. Si l'on décompose l'écart par pays, on constate que l'augmentation des besoins signalés a considérablement augmenté dans certaines régions par rapport au chiffre global combiné.
Décomposition de l'écart de main-d'œuvre
L'Australie (71,3 % d'augmentation de l'écart) et la Corée du Sud (77,9 % d'augmentation de l'écart) ont connu deux des plus fortes augmentations en pourcentage des besoins en personnel perçus. Il s'agit de deux grandes économies, la Corée du Sud jouant un rôle central dans plusieurs chaînes d'approvisionnement mondiales centrées sur l'électronique et l'ingénierie, tandis que l'Australie est un important fournisseur de ressources naturelles, de nourriture et de boissons, ainsi que d'exportations culturelles telles que le sport.
Les autres marchés en croissance en termes de main-d'œuvre active affichent également des écarts importants, l'Afrique du Sud (écart de 10,1 %), l'Arabie saoudite (écart de 26,8 %) et les Émirats arabes unis (écart de 9,7 %) montrant tous une demande de croissance supplémentaire de la main-d'œuvre et des compétences.
Le Royaume-Uni (augmentation de l'écart de 27,1 %) et l'Allemagne (augmentation de l'écart de 15 %) enregistrent tous deux des augmentations significatives de leurs déficits de main-d'œuvre. La nécessité de se conformer à une législation nouvelle et en évolution, telle que la loi sur les services et marchés financiers de 2023 au Royaume-Uni, la loi FinmadiG en Allemagne et la loi sur la résilience opérationnelle numérique (DORA) dans toute l'Europe, a contribué à l'augmentation de la demande perçue.
Quelque 45 % des personnes interrogées en Allemagne ont cité "le respect des exigences réglementaires"comme le deuxième défi le plus important auquel les organisations ont été confrontées au cours des 12 derniers mois, ce qui est légèrement supérieur à la moyenne mondiale de 44 %. Les professionnels allemands de la sécurité considèrent les exigences réglementaires comme une préoccupation constante au cours des deux prochaines années, 48 % d'entre eux les citant comme l'un des principaux défis auxquels ils seront confrontés.
Un petit nombre de pays dans l'étude ont connu une diminution de l'écart, avec le Canada (diminution de l'écart de 1,2 %), le Brésil (diminution de l'écart de 7,5 %), le Mexique (diminution de l'écart de 2,1 %), les Pays-Bas (diminution de l'écart de 1,6 %) et l'Espagne (diminution de l'écart de 1,7 %) rapportant des diminutions mineures dans les chiffres de l'écart d'une année sur l'autre.
Au niveau régional, l'écart en Amérique du Nord a augmenté globalement de 4 %. L'Europe, le Moyen-Orient et l'Afrique ont vu leur écart augmenter respectivement de 12,8 % et de 11,8 %. L'Asie-Pacifique, comme c'est le cas depuis plusieurs années, a enregistré la plus forte augmentation de l'écart, avec un bond de 26,4 % pour atteindre un peu plus de 3,37 millions de personnes. Seule l'Amérique latine a connu un recul, avec une diminution de 5,7 % de l'écart, sous l'impulsion du Brésil.
Recommandation de l'ISC2
Voici les mesures à prendre par les employeurs du secteur de la cybersécurité selon l'ISC2 :
La pénurie de main-d'œuvre est exacerbée par les déficits de compétences. C'est pourquoi il est essentiel, pour atténuer l'impact du déficit, de se concentrer sur les pénuries de compétences perçues et sur les initiatives menées par les employeurs pour mettre les personnes en contact avec les pénuries de compétences, ou au moins avec les voies permettant de développer ces compétences. Pour comprendre l'état de la main-d'œuvre, il est sans doute encore plus important d'examiner le déficit mesurable de main-d'œuvre de manière isolée.
Cette année, l'étude de l'ISC2 sur la main-d'œuvre en cybersécurité a révélé trois domaines d'action pour les employeurs afin de remédier à la pénurie mondiale de croissance de l'emploi, d'encourager de nouvelles personnes à entrer dans la profession et de remédier à la disparité des compétences dans le vivier de talents :
- S'attaquer aux priorités en matière de création d'emplois et de recrutement : La capacité à attirer de nouvelles personnes dans la profession et à réduire le déficit de main-d'œuvre dans le domaine de la cybersécurité - et, par conséquent, le déficit de compétences dans la profession - incombe aux employeurs et à leurs responsables du recrutement. Même en période de perturbation économique, le besoin d'une main-d'œuvre croissante et réactive dans le domaine de la cybersécurité a perduré, comme le confirment les chiffres de cette année relatifs à la main-d'œuvre active et au déficit de compétences. L'embauche d'un éventail diversifié de personnes, des professionnels débutants aux plus expérimentés, permet non seulement d'intégrer la nouvelle génération dans la main-d'œuvre, mais aussi de garantir que les possibilités d'emploi dans le domaine de la cybersécurité continuent de croître. Cette approche permet de recruter davantage dans les limites du budget disponible qu'en embauchant uniquement les professionnels les plus expérimentés et crée un pipeline durable à long terme pour le transfert des connaissances de ces professionnels expérimentés à la prochaine génération de professionnels de la cybersécurité, à mesure qu'elle arrive dans votre organisation.
- Développement professionnel en cours d'emploi : L'adoption d'une stratégie de recrutement en matière de cybersécurité fondée sur la diversité des personnes et des expériences nécessite un engagement en faveur de la formation et du développement en cours d'emploi, plutôt que de s'appuyer uniquement sur l'embauche de personnes préqualifiées. Outre qu'elle est économiquement plus facile à gérer, cette stratégie offre aux employeurs davantage d'options pour adapter la formation et l'éducation aux besoins actuels et futurs de l'organisation, au fur et à mesure qu'ils apparaissent et évoluent, plutôt que d'essayer d'embaucher des professionnels de la cybersécurité qui sont déjà « prêts à l'emploi
- Des attentes réalistes et claires en matière de fonctions : Les données de notre étude ont mis en évidence un décalage évident entre ce que les responsables du recrutement recherchent et ce que les professionnels pensent être la demande. Des descriptions de poste claires, précises et réalistes sont essentielles pour lever cet obstacle majeur au recrutement de professionnels de la cybersécurité, tout en établissant une distinction claire entre les compétences que les candidats doivent acquérir ou qu'ils possèdent déjà et les compétences qu'ils peuvent acquérir dans le cadre de leur fonction. Il incombe aux employeurs de remédier à cette disparité en communiquant mieux sur les besoins et en rationalisant les attentes (ne pas attendre des professionnels qu'ils aient déjà des années d'expérience irréalisables et des certifications industrielles dans une discipline récente comme l'IA, par exemple).
Les employeurs et les responsables du recrutement dans le domaine de la cybersécurité sont actuellement en mesure de procéder à des changements fondamentaux pour éviter que le ralentissement de la croissance de l'emploi ne se transforme en une crise plus grave. Les besoins en matière de cybersécurité ne cessent de croître. Notre sécurité collective est menacée si la cybersécurité devient un coût qui peut être réduit lorsque les budgets se resserrent, plutôt que de rester un investissement précieux dans la sécurité, la conformité, la gestion de la réputation et l'atténuation des risques qui doit être protégé. À l'heure actuelle, les organisations sont encore directement habilitées à traiter ces questions elles-mêmes. En l'absence de progrès, le risque d'une réglementation et d'une législation qui enlèvent la décision aux employeurs devient plus élevé.
Source : ISC2
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
La main-d'œuvre dans le domaine de la cybersécurité atteint un niveau record, mais le déficit de compétences s'accroît également : Il n'y a pas assez d'efforts pour retenir les talents, selon l'ISC2
Top huit des prédictions en matière de cybersécurité pour 2024 : la GenAI va combler le déficit de compétences en supprimant la nécessité d'une formation spécialisée, d'après Gartner
Cybersécurité : 84 % des professionnels de la sécurité affirment que l'industrie est en plein essor, mais au prix d'une charge de stress difficile à endurer