La pénurie de spécialistes en cybersécurité est l'un des sujets les plus récurrents de mes discussions avec des clients ou des clients potentiels chez Kertos. Au cours des derniers mois, je me suis entretenu régulièrement avec des RSSI, des directeurs techniques et des responsables de la sécurité informatique, et il n'y a pas eu de conversation sans que ce sujet ne soit abordé. Ce n'est pas une préoccupation industrielle abstraite. En tant que réalité quotidienne vécue.
Les histoires que j'entends ne concernent pas des entreprises qui n'ont pas réussi à recruter les bonnes personnes. Ce sont des histoires d'équipes accomplissant un travail extraordinaire dans des conditions impossibles, réparties sur un trop grand nombre de tâches et luttant contre des menaces dont la croissance dépasse les budgets. Et dans la plupart des cas, les dirigeants qui me signalent cela ne font pas partie de grandes entreprises aux poches bien garnies. Ils travaillent dans des entreprises de taille moyenne, des startups à croissance rapide et des PME qui doivent répondre aux mêmes exigences de conformité que les organisations dix fois plus grandes.
Un gardien de but contre douze équipes adverses
La pénurie de compétences en cybersécurité est essentiellement une inadéquation structurelle entre la demande d'expertise et l'offre de spécialistes qualifiés. Cela n'est nulle part plus visible que dans les PME européennes.
La description la plus mémorable que j'ai jamais entendue est celle d'un responsable de la sécurité informatique d'une entreprise technologique allemande. Il a comparé son équipe à un gardien de but de football. Votre travail consiste à bloquer chaque tir, quel que soit l'angle, à tout moment. Dans une équipe bien placée, les défenseurs réduisent la pression et aident à contrôler le terrain de jeu. Cependant, son équipe n'avait pas suffisamment de défenseurs depuis des années. « Imaginez un gardien de but », m'a-t-il dit, « pas seulement contre onze joueurs. Contre plusieurs équipes en même temps. Voici à quoi ressemble notre semaine. »
Selon l'étude ISC2 sur la main-d'œuvre en cybersécurité 2024 La pénurie mondiale de professionnels de la cybersécurité représente environ 4,8 millions d'emplois, soit une augmentation de 19 % par rapport à l'année précédente, avec un besoin réel de 10,2 millions de professionnels dans le monde. L'Europe n'est pas épargnée : les effectifs de cybersécurité du continent ont en fait diminué de 0,7 % en 2024, bien que la demande ait continué d'augmenter. Particulièrement alarmant : 64 % des personnes interrogées pensent que les pénuries de compétences ont un impact négatif nettement plus important que le simple manque de personnel.
Ce qui a le plus changé ces dernières années, c'est la question de savoir qui est touché par ce problème. Dans le passé, la sécurité de l'information et la conformité étaient principalement l'apanage des grandes entités réglementées : banques, systèmes de santé, entreprises de défense. Une vague de réglementations européennes a fondamentalement changé cette situation. 2 ANS, qui est entrée en vigueur en octobre 2024, a étendu les exigences de sécurité obligatoires à des dizaines de milliers d'installations supplémentaires dans des secteurs critiques. Les petites entreprises, qui se débrouillaient jusqu'à présent sans programme officiel de sécurité de l'information, sont désormais confrontées à des exigences obligatoires dans les domaines de la gestion des risques, des exigences de signalement des incidents de sécurité et de la sécurité de la chaîne d'approvisionnement.
Le gardien de but est désormais censé jouer dans la ligue professionnelle, avec une équipe amateur et n'a pas le temps de s'entraîner.
Pourquoi la pénurie de professionnels de la cybersécurité continue de croître
La pénurie de travailleurs qualifiés dans le secteur de la sécurité est un problème d'offre et de demande dans lequel les deux côtés de l'équation évoluent dans la mauvaise direction en même temps.
Du côté de la demande, la pression réglementaire et commerciale stimule la croissance. Exigences NIS2 obligent les entreprises à créer des fonctionnalités de sécurité dont elles n'ont jamais eu besoin auparavant. La certification ISO 27001 est de plus en plus attendue par les entreprises clientes et les services des achats avant la conclusion d'un contrat. L'application du RGPD devient de plus en plus décisive. Chacun de ces développements crée une nouvelle catégorie d'organisations qui recherchent activement des professionnels de la sécurité qualifiés qui n'existent tout simplement pas en nombre suffisant.
Du côté de l'offre, le vivier de talents ne croît pas assez rapidement. La cybersécurité nécessite une combinaison de profondeur technique, de compréhension de la réglementation et de jugement qui nécessite des années de développement. Le passage de l'université à un spécialiste prêt à l'emploi est structurellement lent. Et dès que des professionnels qualifiés entrent sur le marché du travail, ils ont tendance à rester là où ils sont : les grandes entreprises attirent les candidats les plus expérimentés grâce à des programmes de rémunération, à des structures de développement de carrière et à une notoriété de marque que la plupart des PME ne peuvent tout simplement pas suivre. La faible mobilité professionnelle aggrave le problème. Quiconque a fini par devenir spécialiste de la sécurité dans une grande entreprise aux tâches intéressantes et aux perspectives solides n'est guère incité à changer.
Cela crée un problème structurel dont les conséquences sont inégalement réparties. Selon Eurostat Les PME représentent plus de 99 % de toutes les entreprises de l'UE et emploient environ les deux tiers des travailleurs du secteur privé. Ils constituent l'épine dorsale de l'économie européenne. Dans le même temps, ce sont précisément les organisations les moins à même de recruter les professionnels de la sécurité dont elles ont aujourd'hui légalement besoin.
L'Allemagne est soumise à une pression particulièrement forte à cet égard. Rapport sur la situation en matière de sécurité informatique du BSI identifie régulièrement le manque de personnel de sécurité qualifié comme l'une des principales faiblesses structurelles des entreprises allemandes. Pourtant, l'étude ISC2 de 2024 montre pour la première fois que les personnes interrogées citent « le manque de budget » et non plus le « manque de spécialistes qualifiés » comme la principale cause des pénuries de personnel. Cela signifie que même si les entreprises savent ce dont elles ont besoin, elles ne peuvent souvent pas se le permettre.
Ceci est dû à la pénurie de travailleurs qualifiés dans les activités quotidiennes.
Lorsque je demande aux RSSI comment la pénurie de compétences en cybersécurité se reflète réellement dans leur travail, les réponses suivent un schéma remarquablement constant. Les équipes ne sont pas simplement en sous-effectif. Ils sont surchargés d'une manière qui augmente au fil du temps.
L'effet le plus immédiat est observé dans les temps de réponse. Lorsqu'une vulnérabilité critique est découverte, une équipe bien dotée peut rapidement évaluer, hiérarchiser et commencer à corriger. Si la même équipe est trop restreinte, le même processus peut prendre presque deux fois plus de temps. Dans le domaine de la cybersécurité, le temps de réponse n'est pas un indicateur de performance abstrait. Il détermine directement l'étendue de l'exposition et les dommages potentiels.
Les changements de contexte constituent l'autre centre de coûts invisible. Les professionnels de la sécurité au sein d'équipes en sous-effectif jonglent régulièrement avec des tâches relevant de plusieurs domaines : gestion des vulnérabilités, collecte de preuves de conformité, examens des accès, réponse aux incidents et évaluations des risques liés aux fournisseurs, parfois au cours de la même semaine. Le rapport 2024 de l'ENISA sur la situation de la cybersécurité dans l'Union note que la conformité à la norme NIS2 et les pénuries de compétences augmentent en même temps, et que les investissements sont transférés du personnel à la technologie par nécessité. Le coût humain de ce changement est réel : le basculement constant entre les projets stratégiques et les tâches de routine se traduit par des plans stratégiques incomplets et des angles morts opérationnels.
Ce n'est pas un problème humain. Les professionnels de la sécurité à qui je parle sont parmi les professionnels les plus dévoués que je connaisse. Il s'agit d'un problème structurel, et les problèmes structurels nécessitent des solutions structurelles.
Ce que les RSSI peuvent faire pour combler cette lacune sans attendre l'arrivée de nouveaux employés
Le recrutement à lui seul n'est pas une solution réaliste pour la plupart des organisations à court terme. Les talents sont rares, la concurrence est intense et même après une recherche réussie, l'intégration prend du temps. La question la plus productive est la suivante : comment travaillez-vous plus efficacement avec l'équipe que vous avez déjà ?
Les agents de sécurité les mieux placés pour faire face à cette situation adoptent une approche commune. Ils identifient les tâches qui nécessitent un véritable jugement humain et celles qui sont purement des processus, puis utilisent la technologie pour le travail de processus tout en protégeant le temps de leurs meilleurs collaborateurs pour les tâches les plus exigeantes. Comme me l'a dit un responsable d'InfoSec : « Chaque minute qu'un ingénieur de sécurité expérimenté passe à extraire manuellement des données d'une console AWS est une minute qu'il n'utilise pas pour modéliser les menaces ou planifier la réponse aux incidents. » Ce n'est pas un procès. Il s'agit d'un défaut de conception qui peut être corrigé.
Collecte de preuves, cartographie des contrôles, préparation des audits, révision des journaux d'accès : ce sont des activités chronophages qui suivent des modèles prévisibles. Ils peuvent être automatisés. Plateformes d'automatisation de la conformité Comme Kertos, nous collectons en permanence des preuves à partir de systèmes intégrés, attribuons des contrôles aux cadres pertinents et comblons les lacunes avant qu'elles ne deviennent des résultats d'audit. Une tâche qui nécessitait auparavant des journées de coordination manuelle est désormais exécutée en continu en arrière-plan, sans distraire un ingénieur en sécurité d'un travail de meilleure qualité. Le gain de productivité pour une petite équipe est significatif, et la position en matière de conformité est même renforcée car la surveillance ne s'arrête jamais.
En outre, plusieurs RSSI avec lesquels j'ai parlé investissent spécifiquement dans le renforcement de l'expertise en matière de sécurité en interne en travaillant avec les équipes DevOps et informatiques, en suscitant l'intérêt pour les sujets de sécurité et en proposant une formation continue structurée. Les programmes Security Champions et les voies de développement claires transforment les membres de l'équipe issus de disciplines connexes en contributeurs compétents au fil du temps. Cela demande de la patience, mais crée quelque chose de plus permanent qu'un simple environnement externe. Les partenariats universitaires et les programmes de stages constituent une approche à long terme qui donne aux étudiants des informations pratiques sur le véritable travail de sécurité tout en constituant un véritable vivier de talents sur un horizon de deux à trois ans.
Le tableau ci-dessous compare les approches les plus couramment utilisées par les organisations pour remédier à la pénurie de compétences dans le secteur de la sécurité et leurs considérations pratiques :
La plus grosse erreur : l'externalisation au lieu de l'automatisation
Il y a une tendance que j'observe encore et encore, en particulier dans la région DACH, et qui me préoccupe le plus. Lorsque les organisations reconnaissent qu'elles font face à une pénurie de talents en cybersécurité, la réponse instinctive est de combler le manque de personnel. Et lorsqu'ils ne peuvent pas recruter assez rapidement, beaucoup font appel à des prestataires de services gérés ou à des sociétés de conseil externes.
L'externalisation est un sentiment de sécurité. Il fait intervenir des professionnels nominalement qualifiés. Il répartit les responsabilités perçues. Dans la pratique, cependant, elle crée souvent plus de problèmes qu'elle n'en résout. Il faut faire appel à des partenaires extérieurs. Vous avez besoin de contexte concernant votre infrastructure, vos priorités en matière de risques et votre situation réglementaire spécifique, et ce processus d'information demande du temps à votre équipe interne, c'est-à-dire à l'équipe déjà surchargée.
Les lacunes de communication entre les parties prenantes internes et les partenaires externes entraînent des retards dans les processus où la rapidité est cruciale. Si quelque chose ne va pas, la responsabilité devient floue. Et les coûts totaux, à la fois financiers et de gestion, dépassent régulièrement les prévisions initiales des organisations. Il y a aussi la question de la visibilité : lorsque des processus de sécurité centraux ont lieu en dehors de votre organisation, vous ne savez souvent pas ce que vous ne savez pas. Et la responsabilité en matière de protection des données et de réponse aux incidents ne peut pas être entièrement déléguée : votre entreprise reste en conformité avec Obligations du NIS2 pour les directeurs généraux responsable quel que soit le partenaire externe qui était nominalement responsable.
Cela ne constitue pas un argument contre tout soutien extérieur. Une expertise spécialisée pour des missions clairement définies, des tests d'intrusion, des équipes rouges ou des audits spécifiques peut être absolument utile. Cependant, l'utilisation de l'externalisation comme solution structurelle standard à un problème de personnel est coûteuse, crée des lacunes en matière de contrôle et ne permet pas de remédier de manière significative à la pénurie de compétences en cybersécurité.
La meilleure réponse est Réduisez la charge opérationnelle de votre équipe grâce à l'automatisation et libérez vos experts pour qu'ils puissent effectuer le travail qui nécessite vraiment leur jugement. Kertos effectue une collecte continue de preuves, une surveillance des contrôles et des rapports de conformité sur plusieurs frameworks simultanément. Cela ne remplace pas une équipe de sécurité. C'est ce qui rend une équipe de sécurité allégée efficace. Les bons managers peuvent distinguer les sujets qui nécessitent réellement un jugement humain et les activités relevant de purs processus qui sont mieux couverts par l'automatisation que par un prestataire de services externe.
Les entreprises qui gèrent le mieux la pénurie de compétences en cybersécurité ne sont pas celles qui disposent des services de sécurité les plus importants. Ce sont eux qui ont pris les décisions les plus claires quant aux domaines dans lesquels l'expertise humaine est irremplaçable et dans lesquels une plateforme bien configurée devrait en supporter la charge.
FAQ sur la pénurie de compétences en cybersécurité
Quelle est l'ampleur de la pénurie de travailleurs qualifiés dans le domaine de la cybersécurité en Europe ?
L'étude ISC2 Cybersecurity Workforce Study 2024 estime la pénurie mondiale de travailleurs qualifiés à environ 4,8 millions d'emplois. Les effectifs européens de cybersécurité ont en fait diminué de 0,7 % en 2024. 64 % des professionnels de la sécurité estiment que les lacunes en matière de compétences ont un impact négatif plus important qu'une simple pénurie de personnel, et la tendance s'aggrave d'année en année.
Comment le NIS2 aggrave-t-il la pénurie de travailleurs qualifiés pour les PME ?
NIS2 a étendu les exigences de sécurité obligatoires à un groupe beaucoup plus large d'organisations en Europe, dont beaucoup n'avaient aucune fonction officielle de sécurité de l'information auparavant. Cela augmente la demande de professionnels de la sécurité qualifiés dans les organisations les moins à même de les recruter.
Quel est le moyen le plus efficace de combler l'écart sans nouvelles recrues ?
L'approche la plus efficace consiste à automatiser les activités de sécurité de routine, pilotées par les processus, afin que les membres de l'équipe existants puissent consacrer leur temps à des tâches exigeantes. Cela inclut des outils d'automatisation de la conformité qui prennent en charge en permanence la collecte des preuves, la cartographie des contrôles et la préparation des audits, et permettent aux petites équipes de maintenir un niveau de conformité qui nécessiterait autrement beaucoup plus de personnel.
Qu'est-ce que Kertos et comment la plateforme contribue-t-elle à remédier à la pénurie de travailleurs qualifiés ?
Kertos est européen Plateforme d'automatisation de la conformité, qui aide les équipes de sécurité de l'information à maintenir une conformité continue à l'aide de cadres tels que ISO 27001, NIS2, GDPR, SOC 2 et TISAX. En automatisant le travail manuel, qui nécessite généralement une quantité disproportionnée de temps d'équipe, Kertos permet aux équipes allégées de travailler à un niveau qui nécessiterait autrement beaucoup plus de personnel. Si vous voulez voir comment cela fonctionne dans la pratique, réservez une démo.
La pénurie de compétences en cybersécurité ne va pas se résorber d'elle-même dans un avenir proche. Les forces structurelles qui le motivent, à savoir l'expansion de la réglementation, les pénuries de talents et les taux de rétention élevés dans les grandes entreprises, ne s'inversent pas rapidement. Mais les organisations ne sont pas impuissantes. Les responsables de la sécurité que j'admire le plus sont ceux qui ont cessé d'attendre que le marché du recrutement s'améliore et qui ont repensé la façon dont leurs équipes travaillent. Ils investissent dans l'automatisation, développent des talents en interne, consacrent le temps de leurs meilleurs collaborateurs à des problèmes vraiment complexes et considèrent la conformité comme une discipline permanente plutôt que comme un exercice d'incendie périodique. Ce n'est pas un détour. C'est une stratégie.
