Cette étude conduite par Frost & Sullivan et intitulée 2011 (ISC)2 Global Information Security Workforce Study (GISWS) (étude mondiale auprès des spécialistes de la sécurité de l’information) dévoile que les nouvelles menaces découlant des appareils portables, du cloud, des réseaux sociaux et des applications non sécurisées, ainsi que la charge accrue de responsabilités, comme par exemple répondre aux préoccupations sécuritaires des clients, « mettent à rude épreuve les professionnels de la sécurité de l’information et, comme une série de petites lézardes dans une bâtisse, la main-d’œuvre actuellement surmenée commence à montrer des signes de faiblesse. »

Conduite pour le compte de (ISC)2, le leader mondial à but non lucratif de l’enseignement et de la certification des professionnels de la sécurité de l’information tout au long de leur carrière, cette étude fait également état de graves lacunes au niveau des compétences requises à l’échelle de l’industrie. Les professionnels de la sécurité de l’information ont reconnu avoir besoin d’une meilleure formation, tout en indiquant pour la plupart que bon nombre de ces technologies étaient déjà déployées sans se soucier de la sécurité.

« Au sein de l’entreprise moderne, les utilisateurs finaux dictent les priorités informatiques en amenant la technologie à l’entreprise au lieu du contraire, » a déclaré Robert Ayoub, directeur mondial des programmes – sécurité des réseaux pour Frost & Sullivan. « La pression d’une sécurisation excessive et la pénurie de compétences qui en résulte engendrent des risques pour les entreprises à travers le monde. »

« Nous pouvons toutefois réduire les risques si nous investissons dès aujourd’hui pour attirer de nouveaux arrivants de grande qualité dans la profession et investissons parallèlement dans le développement professionnel en ce qui concerne les compétences émergentes. Comme le révèle cette étude, ces solutions sont en cours de déploiement, mais reste à savoir si de nouveaux professionnels et des formations adaptées en nombre suffisant arriveront assez tôt pour préserver la protection des infrastructures vitales mondiales au sein des secteurs privé et public. »

« La bonne nouvelle de cette étude est que les professionnels de la sécurité de l’information bénéficient enfin du soutien de la direction et qu’ils sont valorisés et récompensés pour la sécurité des données et systèmes les plus critiques au sein d’une entreprise, » a-t-il ajouté. « La mauvaise nouvelle est qu’on leur en demande trop, sans leur laisser le temps d’améliorer leurs compétences pour répondre aux toutes dernières menaces de sécurité et exigences des entreprises. »

Les conclusions clés de cette étude comprennent :

§ Frost & Sullivan estime que le nombre de professionnels de la sécurité de l’information s’élève en 2010 à 2,28 millions à travers le monde (plus de 617 000 au sein de la région EMOA). La demande pour cette catégorie professionnelle devrait atteindre près de 4,2 millions d’ici 2015 (1,15 million en EMOA), avec un taux de croissance annuel moyen (TCAM) de 13,2 pour cent (identique au sein de la région EMOA), générant ainsi des débouchés pour les candidats dotés des bonnes compétences.

§ Le développement de logiciels sécurisés est un nouveau domaine de priorité pour les professionnels de la sécurité de l’information à travers le monde. La vulnérabilité des applications a été classée comme la menace n°1 pour les entreprises par 72 pour cent des personnes interrogées à l’échelle mondiale et au sein de la région EMOA (69 pour cent) tandis que 20 pour cent (19 pour cent en EMOA) ont déclaré prendre part au développement de logiciels sécurisés.

§ Près de 70 pour cent (67 pour cent en EMOA) des personnes interrogées ont affirmé avoir des politiques et technologies en place pour relever les défis sécuritaires posés par les appareils portables, mais les appareils portables ont tout de même été classés en seconde position dans la liste des préoccupations majeures par les personnes interrogées (à l’échelle mondiale et en EMOA). L’étude conclut que la sécurité des appareils portables pourrait constituer la menace la plus dangereuse pour les entreprises dans un avenir prévisible.

§ Le cloud computing met en évidence un important décalage entre la mise en œuvre de la technologie et les compétences nécessaires pour offrir une sécurité. Plus de 50 pour cent (55 pour cent en EMOA) des personnes interrogées ont déclaré avoir des clouds privés en place, tandis que plus de 70 pour cent (75 pour cent en EMOA) ont souligné la nécessité d’acquérir de nouvelles compétences pour sécuriser efficacement les technologies basées sur le cloud computing.

§ Les professionnels ne sont pas prêts pour faire face aux menaces des médias sociaux. Les personnes interrogées ont fait part de politiques et d’une protection incohérentes pour les utilisateurs finaux visitant des sites de médias sociaux, et un peu moins de 30 pour cent (31 pour cent en EMOA) ne disposaient d’aucune politique de sécurité des médias sociaux.

§ Les virus et vers informatiques, les hackers et les employés internes ont tous reculé dans le classement des plus importantes menaces par rapport à 2008, la dernière édition de l’étude.

§ Les principaux facteurs de la croissance continue de la profession sont les exigences de conformité réglementaire, le potentiel accru de perte de données via les appareils portables et la main-d’œuvre mobile, ainsi que la perte potentielle de contrôle, les entreprises adoptant des services de cloud computing pour leurs données.

§ Deux tiers environ des personnes interrogées à travers le monde et en EMOA ne s’attendent pas à une augmentation du budget affecté au personnel de la sécurité de l’information et à la formation en 2011.

§ Les salaires ont affiché une solide croissance malgré la récession mondiale, trois personnes interrogées sur cinq déclarant avoir bénéficié d’une augmentation de salaire en 2010.

« Nous assistons à une révolution conceptuelle dans le mode de fonctionnement des entreprises, déclenchée par le triple impact du cloud computing, de l’utilisation omniprésente des appareils portables et des médias sociaux via le réseau d’entreprise, ainsi que par la vague de nouvelles applications développées à l’appui, » a déclaré John Colley, CISSP, directeur général pour la région EMOA de (ISC)2. « Les professionnels de la sécurité devront adapter leurs compétences face à ces nouveaux développements, mais ils ne sont pas les seuls. La responsabilité sécuritaire est désormais une préoccupation à l’échelle de l’entreprise, avec des répercussions pour les services RH, juridique, marketing, ventes, et même les clients dans le cadre de la stratégie mondiale de cyber-sécurité. Je suis certain que nous développerons les bons instincts pour relever le défi, mais je pense que cela demandera un effort commun de l’industrie, des gouvernements, du corps enseignant et des professionnels de la sécurité de l’information. »

Il s’agit probablement de la plus importante étude jamais conduite auprès du secteur de la sécurité de l’information. 10 413 professionnels de la sécurité de l’information issus de sociétés privées et d’organismes du secteur public du monde entier ont été interrogés à l’automne 2010, dont 61 pour cent pour les Amériques, 22,5 pour cent en Europe, au Moyen-Orient et en Afrique, et 16,5 pour cent en Asie Pacifique. Quarante-cinq pour cent (42 pour cent en EMOA) travaillaient pour des entreprises de plus de 10 000 salariés.

L’expérience moyenne des personnes interrogées à travers le monde était supérieure à neuf ans, tandis que cinq pour cent (sept pour cent en EMOA) des personnes interrogées occupaient des postes de cadres supérieurs, tels que Directeur de la Sécurité de l’Information. De plus, Frost & Sullivan a complété l’analyse avec ses autres sources de données primaires et méthodes.

L’objectif de l’étude GISWS, la cinquième commanditée par (ISC)2 depuis 2004, est de fournir des données significatives au sujet des spécialistes de la sécurité de l’information aux parties prenantes de l’industrie, y compris les professionnels, les entreprises, les agences gouvernementales, le corps enseignant, et les directeurs du recrutement.

L’étude peut être consultée dans son intégralité en suivant ce lien : https://www.isc2.org/workforcestudy/Default.aspx.