Le marché du travail connaît depuis longtemps une pénurie d’experts en cybersécurité. Souvent, les entreprises qui ont besoin de personnes spécialisées dans la sécurité de l’information n’en trouvent aucune ou, du moins, n’en trouvent pas qui ont suivi une formation formelle spécialisée et qui possèdent l’expérience nécessaire. Afin de comprendre à quel point il est important pour une entreprise de disposer de spécialistes ayant suivi une formation formelle dans ce domaine et dans quelle mesure de telles formations répondent aux besoins actuels, nos collègues ont mené une étude dans laquelle ils ont interrogé plus d’un millier d’employés de 29 pays répartis dans différentes régions du monde. Parmi les personnes interrogées figurent des spécialistes de différents niveaux, depuis des débutants avec deux ans d’expérience jusqu’à des responsables DSI et SOC avec dix ans d’expérience. Et, à en juger par les réponses des personnes interrogées, il semblerait que l’enseignement classique ne suive pas les tendances de la sécurité de l’information, ou InfoSec.
Tout d’abord, l’enquête a montré que tous les spécialistes n’ont pas fait d’études supérieures : plus de la moitié (53 %) des employés de l’InfoSec n’ont pas de diplôme universitaire de troisième cycle. Cependant, pour ce qui est des personnes diplômées, un employé sur deux doute que sa formation formelle l’aide réellement à accomplir ses tâches professionnelles.
La cybersécurité est une industrie en constante évolution. Le paysage des menaces évolue si vite que même quelques mois de décalage peuvent s’avérer critiques, alors même que l’obtention d’un diplôme universitaire peut prendre quatre à cinq ans. Pendant ce temps, les pirates informatiques peuvent moderniser leurs tactiques et leurs méthodes de telle sorte qu’un « spécialiste » diplômé en InfoSec soit contraint de lire rapidement tous les derniers articles sur les menaces et les moyens de défense en cas de cyberattaque réelle.
Les spécialistes de l’InfoSec ayant une véritable expérience soutiennent que les établissements d’enseignement supérieur ne dispensent pas suffisamment de connaissances pratiques, et n’ont par ailleurs pas accès aux technologies et aux équipements modernes. Par conséquent, pour travailler dans le domaine de l’InfoSec et lutter contre les véritables cybermenaces, une formation complémentaire s’avère de toute façon nécessaire.
Bien sûr, cela ne signifie pas que les professionnels de la cybersécurité ayant fait des études supérieures sont moins compétents que leurs collègues qui n’en ont pas fait. En fin de compte, la passion et la capacité à s’améliorer continuellement sont de la plus haute importance lorsqu’il est question de développement professionnel. De nombreuses personnes interrogées indiquent qu’elles ont acquis plus de connaissances théoriques que pratiques dans les établissements d’enseignement supérieur classiques, mais estiment que les formations formelles sont tout de même utiles car, sans une base théorique solide, l’acquisition de nouvelles connaissances progresserait plus lentement. D’un autre côté, les spécialistes qui n’ont suivi aucune formation universitaire de troisième cycle ou qui sont arrivés dans la sécurité de l’information, car ils faisaient déjà partie d’une autre industrie de l’informatique peuvent également devenir de vrais experts en protection contre les cybermenaces. En réalité, tout dépend de la personne.
Comment améliorer la situation du marché ?
Afin que le marché attire un nombre suffisant d’experts en sécurité de l’information, la situation doit être équilibrée des deux côtés. Premièrement, il serait logique que les universités envisagent un partenariat avec des entreprises de cybersécurité. Cela leur permettrait de dispenser aux étudiants des connaissances plus applicables en pratique. Deuxièmement, il serait bon que les entreprises augmentent périodiquement les compétences de leurs employés grâce à des formations spécialisées.
Vous pouvez lire la partie du rapport consacrée aux problèmes pédagogiques de l’InfoSec sur la page Internet du premier chapitre – Formation des experts actuels en cybersécurité.