Fortinet : Les incidents de cybersécurité sont étroitement liés à la pénurie de compétences dans le domaine

juillet 2024 par Fortinet

Les principales conclusions de l’étude sont les suivantes :

• Les entreprises attribuent de plus en plus souvent les failles de cybersécurité au manque de professionnels dans le secteur

• Les intrusions continuent à impacter lourdement les entreprises, et les dirigeants sont souvent sanctionnés, car tenus responsables de ces incidents.

• Les certifications restent appréciées des employeurs, qui permettent de valider les compétences et les connaissances demandées.

• Un recrutement axé sur la diversité est une opportunité de remédier à cette pénurie

John Maddison, Chief Marketing Officer, Fortinet

« Les résultats de notre dernier rapport Global Cybersecurity Skills Gap témoignent de la nécessité de collaborer pour faire émerger de nouvelles compétences en cybersécurité. Afin de maîtriser efficacement les risques et de lutter contre les menaces toujours plus complexes, les entreprises doivent s’appuyer sur plusieurs leviers : adopter des technologies de sécurité pertinentes, renforcer l’expertise des professionnels de la sécurité grâce à la formation et aux certifications, et mieux sensibiliser les collaborateurs d’entreprise à la cybersécurité. Fortinet active ces 3 leviers pour pallier la pénurie de compétences en sécurité informatique. Nous nous sommes engagés à former 1 million de personnes d’ici 2026. A mi-parcours de cet engagement pris sur 5 ans, nous avons déjà formé un demi-million de personnes. »

Des profils qualifiés toujours plus rares à l’échelle mondiale

4 millions de nouveaux professionnels seraient nécessaires pour combler l’écart entre offre et demande sur le marché mondial de la cybersécurité. En France, selon le Global Cybersecurity Skills Gap Report de 2024, 72% (contre 70% au niveau global) des entreprises déclarent que cette pénurie de compétences créée davantage de risques pour leur organisation. Ces résultats soulignent son impact, à échelle mondiale, sur les entreprises :

• Les entreprises attribuent davantage d’incidents de sécurité à la pénurie de compétences. Au cours de l’année écoulée, près de 9 décideurs d’entreprise sur 10 (87%) estiment avoir subi une intrusion pouvant être partiellement attribuée au déficit de compétences cyber (76% en France), contre 84% en 2023 et 80% l’année précédente.

• Les intrusions ont un impact plus important sur les entreprises. Les conséquences d’une intrusion peuvent être multiples, allant des problèmes financiers aux problèmes d’image de marque. L’étude de cette année révèle que la responsabilité des dirigeants d’entreprise est davantage remise en cause à la suite d’un cyber-incident : 51% des personnes interrogées indiquent que des directeurs ou cadres dirigeants ont subi des sanctions financières, des peines de prison, une perte de poste ou encore un licenciement à la suite d’une cyberattaque (26% en France). En outre, plus de 50% des personnes interrogées estiment que les intrusions ont induit des pertes de revenus (et 43% en France), des pénalités financières et des dépenses supérieures à 1 million de dollars, contre 48% en 2023 et 38% l’année précédente.

• Les conseils d’administration font de la cybersécurité un impératif. La cybersécurité devient une priorité auprès des dirigeants et conseils d’administration. 72% (contre 64% en France) des répondants indiquent que leurs dirigeants se sont davantage préoccupés de la sécurité par rapport à l’année précédente. 97% d’entre eux précisent que la cybersécurité est devenue une priorité d’entreprise.

Formation continue et certifications sont des critères de recrutement

Les managers considèrent les certifications comme une validation des connaissances en cybersécurité. Ceux qui détiennent une certification ou qui travaillent avec une personne certifiée y voient de vrais avantages. L’enquête de cette année souligne également les tendances suivantes :

• Les candidats certifiés se distinguent. Plus de 90% (98% en France) des répondants déclarent privilégier le recrutement de profils certifiés

• Les décideurs estiment que les certifications améliorent la posture de sécurité. Les répondants valorisent les certifications et 89% (82% en France) se disent prêts à financier la certification en cybersécurité d’un collaborateur.

• Le recrutement de candidats certifiés n’est pas simple. Plus de 70% (72% en France) des répondants estiment qu’il est difficile de trouver des profils disposant de certifications technologiques.

Les entreprises élargissent leurs critères pour pourvoir les postes vacants

Certaines entreprises élargissent leur vivier de recrutement et ne se contentent plus des profils traditionnels. Cette ouverture vers de nouveaux profils élargit le spectre des possibilités, notamment si les entreprises sont prêtes à investir dans les certifications et la formation. D’autre part, le rapport met en lumière les éléments suivants :

• Les entreprises misent sur la diversité en matière de recrutement. 83% des répondants indiquent que leur entreprise a défini des objectifs de diversité dans leur recrutement sur les prochaines années (vs 72% en France), un chiffre proche des 89% enregistrés en 2021.

• La diversité dans le recrutement varie d’une année à l’autre. En dépit d’objectifs établis, le recrutement actif de femmes est en recul (85% des entreprises interrogées, contre 89% en 2022 et 88% en 2021). Le recrutement auprès de minorités reste stable à 68% des entreprises (contre 67% en 2021).

• Si de nombreux managers qui recrutent valorisent les certifications, certaines entreprises restent sur des profils plus traditionnels. Même si de nombreux répondants déclarent valoriser les certifications, 71% (contre 50% en France) des entreprises continuent à privilégier des diplômes en 4 ans, tandis que 66% ne recrutent que des candidats formés de cette manière traditionnelle en France et dans le monde.

Trois axes pour renforcer la cyber-résilience des entreprises

Les cyberattaques, plus fréquentes et coûteuses, alarment sur l’urgence de renforcer la cyberdéfense dans toutes les entreprises. La majeure partie d’entre elles adoptent une approche qui associe formation, sensibilisation et technologie, avec les objectifs suivants :

• Aider les équipes IT et de sécurité à acquérir des compétences de sécurité essentielles, en investissant dans la formation et les certifications.

• Favoriser une culture de la cybersécurité parmi les collaborateurs : ces derniers peuvent s’imposer en tant que première ligne de défense de leur entreprise.

• Tirer parti de technologies de sécurité efficaces pour garantir une posture de sécurité robuste.

Pour aider les entreprises à tenir ces objectifs, Fortinet propose un panel de plus de 50 solutions de sécurité professionnelles, via sa plateforme Fortinet Security Fabric. En outre, le Fortinet Training Institute, l’un des programmes de certification et de formation parmi les plus complets du secteur, rend les certifications de cybersécurité et les nouvelles opportunités de carrière accessibles à tous. L’institut propose notamment une formation de sensibilisation à la sécurité qui permet de favoriser « la culture de la cybersécurité » parmi les collaborateurs.

A propos de l’enquête de Fortinet

• L’enquête a été menée auprès de plus de 1850 professionnels de l’informatique et de la sécurité, issus de 29 pays.

• Les participants sont représentatifs de nombreux secteurs d’activité parmi lesquels celui des technologies (21%), celui de la production industrielle (15%) et le secteur des services financiers (13%).

• 10% des entreprises interrogées sont françaises.