Le nombre de travailleurs dans la cybersécurité stagne malgré la pénurie de compétences

Cette pénurie de compétences expose les organisations à un risque important en matière de cybersécurité

L'étude 2024 de l'ISC2 sur la main-d'œuvre en cybersécurité a révélé un besoin marqué pour les organisations d'augmenter les opportunités de croissance de la main-d'œuvre en cybersécurité, ainsi que de permettre à davantage de professionnels débutants d'entrer dans le domaine et de développer des compétences indispensables avec le soutien de pairs expérimentés. Cette étude montre que les employeurs doivent agir pour combler la demande en main-d'œuvre dans le domaine de la cybersécurité ainsi que les écarts de compétences.

Une nouvelle étude de l'ISC2 montre que la croissance de la main-d'œuvre mondiale dans le domaine de la cybersécurité a stagné à 5,5 millions de personnes, alors que l'on estime à 10,2 millions le nombre de professionnels nécessaires pour sécuriser efficacement les organisations. Cet écart de 4,8 millions représente une augmentation de 19 % d'une année sur l'autre. L'enquête menée auprès de près de 16 000 praticiens et décideurs du monde entier dans le domaine de la cybersécurité montre que, pour la première fois, les participants citent le "manque de budget" comme la principale cause de leur pénurie de personnel.

Alors que 74 % des professionnels reconnaissent que le paysage des menaces en 2024 est le plus difficile des cinq dernières années, les pressions budgétaires sur les effectifs de la cybersécurité comprennent 37 % de réductions budgétaires (en hausse de 7 % par rapport à 2023). 25 % d'entre eux ont procédé à des licenciements au sein de leur équipe de cybersécurité (en hausse de 3 %), 38 % ont gelé les embauches (en hausse de 6 %) et 32 % ont constaté une diminution des promotions (en hausse de 6 %).

Outre la pénurie de main-d'œuvre, 90 % des personnes interrogées déclarent être confrontées à une pénurie de compétences au sein de leur organisation. Plus de la moitié des personnes interrogées (58 %) pensent qu'une pénurie de compétences fait courir un risque important à leur organisation, et 64 % déclarent que les lacunes en matière de compétences représentent un plus grand défi pour la sécurité de leur organisation que les pénuries de personnel.

Le manque de nouveaux talents est également un problème : 31 % des participants déclarent que leurs équipes de sécurité n'ont pas de professionnels débutants, et 15 % déclarent qu'ils n'ont pas de professionnels débutants (un à trois ans d'expérience). En outre, les responsables du recrutement - dont 62 % ont actuellement des postes à pourvoir dans leurs équipes - se concentrent sur le recrutement de personnes de niveau moyen ou avancé plutôt que sur un large éventail d'expériences et de compétences.


Etude 2024 de l'ISC2 sur la main-d'œuvre en cybersécurité

En 2024, les professionnels de la cybersécurité ont été confrontés à une série de problèmes qui ont eu un impact sur les rôles et les responsabilités dans tous les types d'organisations. Les pressions économiques, les problèmes géopolitiques mondiaux, les perturbations de la chaîne d'approvisionnement, l'échec des mises à jour logicielles et l'automatisation et la numérisation croissantes des tâches de cybersécurité ont mis en évidence la nature critique de la cybersécurité pour les entreprises et ont permis aux professionnels de mettre en avant leurs compétences et leur expertise pour protéger les organisations. Cependant, malgré le besoin évident et la reconnaissance de la valeur ajoutée de la cybersécurité pour les organisations, l'étude de l'ISC2 montre la main-d'œuvre active mondiale dans le domaine de la cybersécurité s'est arrêtée à 5,5 millions de personnes.

Dans son étude 2024 sur la main-d'œuvre en cybersécurité, l'ISC2 examine plus en détail les pénuries de compétences en cybersécurité et les facteurs de risque organisationnels qui en découlent. Ils examinent également comment la taille de la main-d'œuvre active et le déficit de main-d'œuvre contribuent au défi auquel sont confrontés les employeurs et les professionnels. Cela permet d'avoir un aperçu des raisons des pénuries de compétences, des pénuries de personnel et les disparités dans l'offre de compétences signalées par les répondants. Les employeurs doivent prendre dès maintenant des mesures de grande envergure afin d'éviter une crise potentielle des capacités en matière de cybersécurité dans les secteurs privé et public.

Pour son étude, l'ISC2 a interrogé 15 852 praticiens et décideurs en matière de cybersécurité dans le monde entier, avec des réponses provenant d'Afrique, d'Asie-Pacifique, d'Europe, d'Amérique latine, du Moyen-Orient et d'Amérique du Nord.

Andy Woolnough, vice-président exécutif des affaires générales de l'ISC2, commente l'étude :


Voici quelques points important de l'étude 2024 :

La main-d'œuvre active en cybersécurité

L'estimation mondiale de la main-d'œuvre active indique que la croissance de l'emploi est restée globalement stable au cours de l'année écoulée, à 5,5 millions, ce qui crée un point de pression considérable face à l'augmentation des besoins perçus. L'augmentation n'est que de 0,1 % par rapport à 2023, ce qui représente une augmentation de 8,7 % par rapport à l'année précédente.

Si l'on peut affirmer que ces chiffres reflètent la stabilité générale des effectifs de la cybersécurité face aux pressions économiques et de rétention de la main-d'œuvre dans tous les secteurs, ils mettent également en évidence une pénurie préoccupante de points d'entrée pour les nouveaux talents et un manque d'opportunités pour remédier aux pénuries de compétences et de personnel grâce à de nouveaux talents et à la formation en cours d'emploi.

Les données suggèrent que les préoccupations économiques et la croissance mondiale de l'automatisation n'ont pas eu d'impact sur la main-d'œuvre existante dans le domaine de la cybersécurité, comme c'est le cas pour d'autres secteurs tels que l'industrie manufacturière et l'hôtellerie-restauration. La taille statique de la main-d'œuvre dans le domaine de la cybersécurité, compte tenu des variations régionales, suggère que les fonctions existantes ne sont pas perdues en raison de la réduction des coûts dans la même mesure que dans d'autres domaines, mais qu'à tout le moins, cela a annulé toute nouvelle croissance nette de l'emploi.

Elle souligne également l'importance de continuer à créer des opportunités d'emploi pour la prochaine génération de professionnels à entrer sur le marché du travail, tout en améliorant les compétences des professionnels existants avec les capacités appropriées pour répondre aux besoins de l'organisation.


Des données supplémentaires fournies par le réseau social professionnel LinkedIn vont dans le même sens, en montrant que le nombre de nouvelles offres d'emploi dans le domaine de la cybersécurité a diminué de 5,4 % en glissement annuel aux États-Unis, de 4,9 % à Singapour, de 4,5 % en France, de 3,5 % au Canada et de 2,5 % au Brésil.

Les offres d'emploi au Royaume-Uni sont restées stables, tandis que l'Allemagne et l'Australie n'ont enregistré qu'une hausse de 1 % des offres d'emploi. Les pays les plus performants en termes de croissance des offres d'emploi sont l'Espagne et le Mexique, avec des hausses de 5,5 % et 6,8 %, ce qui témoigne d'un effort concerté pour remédier à la faible croissance réelle de l'emploi et, dans le cas du Mexique, à la diminution de la taille de la main-d'œuvre.

En outre, l'analyse du marché de l'emploi en cybersécurité réalisée par LinkedIn montre que, malgré l'absence générale de croissance, la part de marché des offres d'emploi a connu une hausse prononcée dans les pays d'Amérique latine au cours des trois dernières années (Brésil : 11,2 % de croissance de la part globale des nouvelles offres d'emploi, Mexique : 3 %), ainsi qu'en Allemagne (11 %) et en Pologne (6,2 %).

Dans le même temps, la part du Royaume-Uni dans les offres d'emploi est restée stable, tandis que les États-Unis, l'Inde, le Canada, les Pays-Bas, l'Espagne, Singapour, la France et l'Italie ont tous vu leur part du nombre total d'offres d'emploi diminuer au cours des trois dernières années. Dans le cas de l'Italie, la baisse a été de 10 %, ce qui représente le plus grand changement négatif dans les données de LinkedIn.


La baisse des offres d'emploi est confirmée par les données de l'étude de l'ISC2, qui montre que les équipes de cybersécurité ont constaté au cours de l'année écoulée une réduction des possibilités d'embauche et d'avancement. À un moment où les organisations peuvent le moins se permettre les coûts, les perturbations et les atteintes à la réputation d'un incident de cybersécurité, la profession est soumise à la plus forte pression pour maintenir la sûreté et la sécurité avec moins de ressources :

• 39 % ont déclaré que le manque de budget était la principale raison des pénuries de personnel dans le domaine de la cybersécurité, remplaçant la pénurie de talents comme principale raison des pénuries de personnel.
• 25 % ont observé des licenciements (en hausse de 3 % par rapport à 2023)
• Plus d'un tiers (37%) ont noté des réductions budgétaires (+7% par rapport à 2023)
• Près de quatre répondants sur dix (38%) ont connu des gels d'embauche (+6% par rapport à 2023)
• Près d'un tiers (32%) ont constaté une baisse des promotions (+6% par rapport à 2023).

En outre, parallèlement à la stagnation de la croissance de la main-d'œuvre active, la comparaison d'une année sur l'autre montre que le niveau traditionnellement élevé de satisfaction professionnelle constaté dans le secteur de la cybersécurité est en baisse de 4 %. Toutefois, 66 % des participants étant toujours satisfaits de leur rôle, les employeurs peuvent tirer parti de cette situation pour recruter de nouvelles personnes dans la profession, si des possibilités d'emploi sont offertes.

Ensemble, ces données confirment que les responsables du recrutement, les dirigeants du secteur de la cybersécurité et leurs équipes doivent agir maintenant pour mieux aligner et développer les efforts de développement professionnel sur les déficits de compétences de l'organisation, afin de favoriser l'évolution de carrière et d'offrir de nouvelles opportunités à la prochaine génération de travailleurs.

Répartition de la main-d'œuvre

En examinant les 5,5 millions de travailleurs actuels par pays, on constate que les poches de croissance de la main-d'œuvre dans plusieurs économies majeures et en pleine croissance sont contrebalancées par des baisses dans certains des plus grands marchés pour les compétences en cybersécurité.

La main-d'œuvre active la plus importante reste celle des États-Unis, qui représente une opportunité de main-d'œuvre substantielle de 1,3 million de personnes malgré une baisse de 3 % d'une année sur l'autre. Une croissance significative de la main-d'œuvre a été observée au Moyen-Orient et en Afrique, l'Afrique du Sud (augmentation de 10,7 %), l'Arabie saoudite (augmentation de 10,9 %) et les Émirats arabes unis (augmentation de 3,4 %) ayant tous progressé d'une année sur l'autre.

L'Europe a connu des poches de croissance avec l'Irlande (augmentation de 5,8 %), les Pays-Bas (augmentation de 8 %) et la France (augmentation de 6,1 %) qui ont tous augmenté leurs effectifs en cybersécurité, même si, dans le cas de la France, le nombre d'offres d'emploi en cybersécurité selon LinkedIn a diminué.

L'Allemagne et le Royaume-Uni, qui constituent les deux plus grandes forces de travail dans le domaine de la cybersécurité en Europe continentale, ont connu une évolution marquée de la taille de leurs effectifs respectifs depuis 2019, selon les années précédentes de l'étude. Bien que cette période comprenne également l'impact anormal de la pandémie, elle met toujours en évidence une situation fluide dans laquelle les compétences en cybersécurité sont recrutées.

En Allemagne, la main-d'œuvre active dans le domaine de la cybersécurité a atteint le chiffre record de 464 782 en 2021, avant de diminuer légèrement chaque année pour s'établir à 439 243 en 2024. Le Royaume-Uni, quant à lui, comptait 300 087 personnes en 2021, la main-d'œuvre allemande dans le domaine de la cybersécurité ayant dépassé le Royaume-Uni pour la première fois dans cette étude. Les effectifs britanniques ont ensuite augmenté, atteignant un maximum de 367 300 en 2023, avant de diminuer de 4,9 % pour s'établir à 349 360 en 2024.


Parallèlement à la croissance au Moyen-Orient et en Afrique, la région Asie-Pacifique a également connu une croissance de la main-d'œuvre. L'Australie (augmentation de 5,5 %), le Japon (augmentation de 4 %), la Corée du Sud (augmentation de 3,3 %) et Singapour (augmentation de 1,3 %) ont contribué à une croissance globale de 3,3 % de la main-d'œuvre active dans la région Asie-Pacifique, pour atteindre un peu moins d'un million de personnes.

Cette main-d'œuvre dans le domaine de la cybersécurité bénéficie probablement d'une série de facteurs qui génèrent une croissance positive de l'emploi pour les professionnels de la cybersécurité. Il s'agit, du moins en partie, des perturbations géopolitiques et économiques accrues dans la région au cours de l'année écoulée, qui ont contribué à accroître la demande de professionnels qualifiés en cybersécurité dans le cadre d'une augmentation globale des investissements en matière de sécurité dans les secteurs public et privé.

Les deux régions les plus importantes en termes d'effectifs actifs dans le domaine de la cybersécurité - l'Amérique du Nord et l'Europe - ont vu leurs effectifs diminuer d'une année sur l'autre, malgré des poches de croissance en Europe. Près d'un quart des personnes interrogées en Amérique du Nord et en Europe ont déclaré que leur organisation avait procédé à des licenciements au sein de leurs équipes de cybersécurité au cours des 12 derniers mois. Bien que les trois quarts n'aient pas connu de licenciements dans le domaine de la cybersécurité, les données indiquent que les contraintes économiques limitent la volonté des organisations de continuer à investir dans leurs équipes de cybersécurité malgré les pénuries de personnel.

Par ailleurs, 29 % des personnes interrogées au Moyen-Orient et en Afrique ont déclaré que leur entreprise avait procédé à des licenciements dans le domaine de la cybersécurité au cours des 12 derniers mois, mais la région a continué à investir dans la main-d'œuvre, ce qui lui a permis d'enregistrer le pourcentage de croissance le plus élevé de l'étude, avec une augmentation de 7,2 % pour atteindre 431 302 personnes. À l'instar de l'Europe, la taille de la main-d'œuvre en Amérique latine est restée globalement stable, avec une baisse de seulement 0,7 %.


Dans l'ensemble, le tableau montre que plusieurs marchés professionnels établis dans le domaine de la cybersécurité ont connu une baisse globale de leurs effectifs, la croissance des marchés émergents maintenant le statu quo mondial et déplaçant une plus grande partie de la base de compétences professionnelles vers différentes régions.

Comprendre l'impact de la pénurie de compétences sur les organisations et les professionnels

La pénurie de compétences clés dans plusieurs disciplines de la cybersécurité contribue largement à la manière dont les professionnels perçoivent l'impact de leur pénurie de main-d'œuvre. Cependant, l'étude constate également une divergence entre les compétences recherchées par les organisations et leurs services de ressources humaines, et les compétences que les professionnels de la cybersécurité estiment être en demande.

Il est particulièrement intéressant de noter que, bien que les professionnels mettent l'accent sur les compétences en communication (31 %), les compétences en cloud computing (30 %), l'IA (23 %) et la GRC (19 %), les responsables du recrutement n'accordent pas autant d'importance à ces compétences. Alors que les gestionnaires de recrutement accordent une priorité à peine inférieure aux compétences en communication (25 %), les compétences en informatique dématérialisée (19 %), les compétences en IA (12 %) et les compétences en GRC (13 %).

Certains secteurs présentent des déficits de compétences nettement plus importants dans certaines disciplines. Par exemple, les équipes de sécurité du secteur du conseil présentent les lacunes les plus importantes en matière d'IA. Les équipes de sécurité des secteurs de l'éducation, de l'administration et de l'armée affichent les lacunes les plus importantes en matière de mise en œuvre de la confiance zéro, tandis que les fournisseurs de services publics - infrastructures essentielles couvrant l'énergie, l'électricité et l'eau - et les équipes de sécurité de l'industrie manufacturière affichent collectivement les lacunes les plus importantes en matière de sécurité des technologies d'exploitation (OT), ce qui n'est pas négligeable étant donné que ces deux secteurs sont sans doute parmi les plus exposés aux nouvelles technologies d'exploitation et aux anciennes.


Dans l'ensemble, les données révèlent que 90 % des organisations ont des lacunes en matière de compétences au sein de leurs équipes de sécurité. En particulier, et bien qu'il ne s'agisse pas d'une priorité pour les responsables du recrutement, plus d'un tiers des personnes interrogées ont cité l'IA comme la plus grande pénurie de compétences dans les équipes. Viennent ensuite l'informatique en nuage (30 %), la confiance zéro (27 %), la réponse aux incidents (25 %), la sécurité des applications et les tests de pénétration (24 % chacun).

En fin de compte, les résultats soulignent que les professionnels de la cybersécurité doivent continuer à développer leurs compétences en obtenant des certifications et d'autres ressources éducatives qui les aideront à acquérir des compétences commercialisables aujourd'hui et à l'avenir. L'étude montre que la disparité entre la perception et la réalité de l'embauche crée une barrière à l'entrée des compétences, qui ne peut être surmontée qu'en ramenant les gestionnaires d'embauche et les professionnels de la cybersécurité sur le même chemin de compétences.

Les compétences techniques telles que l'IA, le cloud, la GRC et la confiance zéro doteront les professionnels de la cybersécurité de demain des capacités opérationnelles nécessaires à l'exécution de fonctions de cybersécurité complexes pour leurs organisations. Cependant, ces compétences doivent s'aligner sur les attentes et les besoins plus larges des gestionnaires de recrutement qui cherchent à compléter les capacités techniques par des compétences qui rendront les rôles de cybersécurité plus efficaces, mieux compris et plus collaboratifs aujourd'hui.


Si l'on examine la situation sous un angle différent, à savoir les secteurs qui sont confrontés à des pénuries de compétences en cybersécurité plutôt que les compétences technologiques qui doivent être renforcées, on constate que plusieurs industries clés sur le plan économique sont exposées à un risque accru de pénurie.

Presque toutes les personnes interrogées dans le secteur de l'éducation, soit 96 % d'entre elles, ont fait état de lacunes dans les compétences des équipes de sécurité. Ils sont 94 % dans la construction et les soins de santé, 93 % dans l'immobilier, 92 % dans les secteurs à but non lucratif, l'aérospatiale, les télécommunications et la R&D, ainsi que dans les secteurs de l'hôtellerie, des voyages et de l'administration. Les secteurs de la fabrication, de l'assurance et des infrastructures critiques sont également très touchés, 91 % des personnes interrogées citant des lacunes en matière de compétences.

Pour y remédier, les organisations et les responsables du recrutement doivent redoubler d'efforts pour recruter des professionnels débutants et développer leurs compétences fondamentales en interne dans le cadre d'un programme de recrutement plus large qui intègre à la fois le niveau débutant et une variété de niveaux d'expérience et de certifications sectorielles, reflétant le parcours professionnel que la plupart d'entre eux suivront au cours de leur vie professionnelle. Cela signifie qu'il faut développer des compétences en matière de leadership, de travail d'équipe, de communication et de réflexion stratégique, en plus des capacités techniques.

La disparité des compétences mise en évidence dans l'étude illustre la nécessité d'une formation tout au long de la vie dans le domaine de la cybersécurité, tout en soulignant les avantages, pour les individus, les organisations et la société dans son ensemble, d'une main-d'œuvre hautement qualifiée, efficace et proactive dans le domaine de la cybersécurité, capable de défendre et de protéger nos économies et nos vies numériques.



Risques liés au personnel

Une pénurie de personnel et de compétences en cybersécurité sur le lieu de travail crée des risques et une vulnérabilité au sein des organisations. L'incapacité à remplir pleinement les rôles et à obtenir les compétences nécessaires entraîne une augmentation de la charge de travail qui peut rendre les organisations vulnérables tant sur le plan de la sécurité que sur le plan financier.

Les données de l'étude annuelle 2024 du Ponemon Institute confirment que le coût direct moyen d'une violation en 2024 était de 4,88 millions de dollars, le coût moyen d'une attaque malveillante interne étant encore plus élevé (4,99 millions de dollars). L'augmentation moyenne des coûts permanents après une violation (coût d'atténuation de la fermeture de la porte après que le cheval s'est enfui) est d'environ 830 000 dollars. Ces chiffres illustrent le risque financier qui pourrait être réduit ou évité en améliorant à la fois les effectifs et les compétences.

Plus de deux tiers des personnes interrogées (67 %) ont fait état d'une certaine forme de pénurie de professionnels de la cybersécurité au sein de leur organisation. Conformément à la croissance stable de la main-d'œuvre active, ce chiffre n'a pas changé depuis 2023, reflétant le fait que l'absence de croissance des nouveaux emplois a eu un impact sur les progrès réalisés par les responsables du recrutement pour remédier aux pénuries critiques.


Plus de la moitié des personnes interrogées (58 %) ont déclaré qu'une telle pénurie de personnel qualifié fait courir un risque important à leur organisation. Ce chiffre ne représente qu'une augmentation de 1 % par rapport à 2023. Le fait qu'elle soit restée constante d'une année sur l'autre malgré un degré élevé d'inquiétude concernant le paysage des menaces suggère que les professionnels de la cybersécurité pourraient s'adapter à la pénurie de personnel et de compétences.

Quoi qu'il en soit, cette réponse est un appel important lancé aux organisations pour qu'elles réalisent les investissements nécessaires afin de relever les défis de la cybersécurité et de protéger les utilisateurs, les données, les systèmes et les chaînes d'approvisionnement grâce à des effectifs et à d'autres ressources adéquats.

Près d'un tiers (31 %) des participants ont déclaré que leurs équipes de sécurité ne comptaient aucun professionnel débutant et 15 % ont déclaré qu'elles ne comptaient aucun professionnel débutant (1 à 3 ans d'expérience). Bien que la présence de professionnels débutants et juniors au sein des équipes de sécurité augmente avec la taille de l'organisation, cela représente globalement une proportion élevée d'organisations qui ne disposent pas d'un pipeline de professionnels de la prochaine génération qui peuvent être formés pour répondre aux besoins spécifiques de l'organisation en matière de cybersécurité et qui peuvent apprendre de leurs pairs plus expérimentés avant qu'ils ne prennent leur retraite ou qu'ils ne quittent l'organisation.

Cette situation est exacerbée par le fait que les responsables du recrutement, dont 62 % ont actuellement des postes à pourvoir dans leurs équipes, privilégient les postes de niveau moyen à avancé plutôt qu'un large éventail d'expériences et d'aptitudes. Toutefois, il est encourageant de constater que les grandes entreprises (celles qui comptent plus de 5 000 employés) créent encore plus de postes de niveau débutant et intermédiaire que leurs homologues plus petites.


Les résultats de l'étude ont également révélé que 74 % des personnes interrogées ont déclaré que le paysage actuel des menaces est le plus difficile qu'elles aient connu au cours des cinq dernières années. Ce chiffre est comparable à celui de l'année dernière (75 %), ce qui confirme le degré élevé d'inquiétude et d'alerte des praticiens de la cybersécurité face aux défis et aux risques auxquels ils sont confrontés.

Le niveau de menace est étayé par d'autres sources de données, l'Agence américaine pour le développement international citant des chiffres qui évaluent le coût mondial de la cybercriminalité à 8 000 milliards de dollars en 2023, chiffre qui devrait atteindre 23 840 milliards de...