Enquête 2019 de l'ISACA sur l'état de la cybersécurité : La rétention des spécialistes qualifiés en cybersécurité est de plus en plus problématique pour les organisations

Les organisations luttent pour maintenir le plein effectif de leur personnel chargé de la cybersécurité, à mesure que la concurrence débauche leurs employés avec des primes et des rémunérations supérieures, selon la nouvelle recherche de l'ISACA sur le personnel chargé de la cybersécurité.

La pénurie de spécialistes qualifiés en cybersécurité a provoqué la vacance des postes, et un fossé grandissant en matière de compétences professionnelles. Un pourcentage considérable de 69 % des 1 576 répondants ont déclaré que leurs équipes de cybersécurité étaient en sous-effectifs.

La partie 1 du rapport 2019 de l'ISACA sur l'état de la cybersécurité analyse les tendances d'embauche des spécialistes de cybersécurité, leur rétention, la diversité hommes-femmes et les implications budgétaires. Le rapport intitulé « Tendances actuelles dans le développement des effectifs » (Current Trends in Workforce Development) a été rendu public aujourd'hui lors du Congrès RSA de San Francisco. Selon les conclusions de la recherche :

• Les spécialistes en cybersécurité sont encore en nombre insuffisant, et difficiles à localiser, particulièrement dans les fonctions qui requièrent une compétence technique.
• La rétention des spécialistes de la cybersécurité est exceptionnellement difficile, même lorsque des incitations telles que la formation et la certification sont proposées.
• Les programmes prônant la diversité hommes-femmes sont en diminution, et jugés moins efficaces que par le passé.
• L'augmentation des budgets de cybersécurité devrait ralentir légèrement.

« Nous sommes dans un environnement très fluide où les organisations doivent relever les défis croissants des forces compétitives », a déclaré Rob Clyde, CISM (Certified Information Security Manager), et président du conseil d'administration de l'ISACA. « Des stratégies de rétention, créatives et compétitives sont plus importantes que jamais dans l'environnement actuel, et les organisations doivent privilégier l'identification des modes de développement de leur équipe de cybersécurité. »

L'ISACA offrira une perspective sur cette évolution, à l'occasion d'une table ronde sur la création et le maintien des équipes de cybersécurité avec un personnel non traditionnel, au Congrès RSA le 6 mars, et dans son stand RSA nº 226.

Tandis que 57 % des personnes interrogées déclarent que leur organisation offre une formation accrue à titre d'incitation pour conserver son personnel, un pourcentage massif de 82 % rapporte que la plupart des intégrants quittent leur entreprise pour une autre, en raison d'incitations financières et professionnelles, telles que des salaires supérieurs, des primes et des promotions.

Frank Downs, le directeur des pratiques de cybersécurité, à l'ISACA, souligne toutefois que ces mesures incitatives ne sont pas nécessairement ce dont les spécialistes de la cybersécurité ont besoin pour l'avancement de leur carrière. Le sens des affaires est fondamental.

« Le talent le plus recherché pour une organisation de cybersécurité est un spécialiste chevronné, comprenant non seulement l'activité métier et en quoi la cybersécurité répond aux besoins supérieurs de l'organisation, mais qui soit également un bon communiquant », a déclaré M. Downs.

Dans l'enquête, 58 % des personnes interrogées notent que leur organisation est en sous-effectif pour ce qui est de la cybersécurité. Les résultats montrent également une augmentation de 6 %, d'une année à l'autre, des organisations qui se morfondent pendant au moins six mois avant de parvenir à pourvoir les postes vacants dans la cybersécurité, soit une augmentation de 26 % en 2017, à 32 % en 2018.

Les programmes prônant la diversité hommes-femmes sont en déclin

Seules 45 % des femmes interrogées dans le cadre de l'enquête estiment qu'hommes et femmes bénéficient de l'égalité des chances en termes d'avancement professionnel. Cela représente une tendance négative de 51 % par rapport à l'année précédente. L'enquête établit en outre que moins de la moitié des organisations de cybersécurité disposent d'un programme prônant la diversité hommes-femmes, et que la perception de l'efficacité de ces programmes, par rapport aux années antérieures, est en déclin.

« Les tentatives de diversifier les effectifs et de créer une intégration de la diversité hommes-femmes sont insuffisantes et échouent à répondre aux attentes des employés », a déclaré M. Clyde. « Les personnes interrogées ne pensent pas que leur organisation privilégie l'augmentation du nombre de femmes aux fonctions de la cybersécurité, ou favorise leur avancement au sein de l'organisation. »

L'augmentation des budgets de cybersécurité devrait ralentir légèrement

La plupart des personnes interrogées s'attendent néanmoins à une augmentation des budgets de cybersécurité, mais pas autant que l'année précédente ; 55 % déclarent s'attendre à une augmentation des budgets de cybersécurité, contre 64 % l'année précédente, soit une baisse de neuf points. Interrogés sur le financement, 60 % des répondants jugent que leur budget de cybersécurité est sous-financé, près de 20 % d'entre eux estimant que leur budget est considérablement sous-financé.

Le rapport 2019 sur l'état de la cybersécurité est disponible gratuitement au téléchargement à l'adresse https://cybersecurity.isaca.org/state-of-cybersecurity. Le rapport décrit la recherche la plus récente de Cybersecurity Nexus de l'ISACA, qui propose des titres de compétences, des formations, des orientations et des recherches aux spécialistes de la sécurité.

À propos de l'ISACA

L'ISACA (isaca.org) qui célèbre son 50^e anniversaire, est une association mondiale qui offre aux spécialistes des connaissances, des titres de compétences, l'éducation et la communauté nécessaire à l'avancement de leur carrière et à la transformation de leurs organisations.

Twitter : https://twitter.com/ISACANews

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.