Comment la pénurie de compétences en cybersécurité affecte votre entreprise

Publié: 2021-05-13

La pénurie de compétences technologiques n'est pas nouvelle, mais son impact sur les entreprises de toutes tailles n'a jamais été aussi clair.

La nécessité, même pour les petites organisations d'aujourd'hui, d'avoir une pile technologique solide pour leurs processus commerciaux et une pile de sécurité sécurisée pour leurs données et informations signifie que les effets de la pénurie de compétences en cybersécurité frappent les PME plus fréquemment que jamais.

En bref, tout le monde a besoin d'une expertise en sécurité technologique, mais la demande est telle que de nombreuses entreprises ne peuvent tout simplement pas se le permettre pour tous leurs besoins.

La pénurie de compétences avant la pandémie

La pénurie de compétences dans le domaine de la technologie couvait depuis un certain nombre d'années - il suffit de remonter à 2017 pour voir ce que les entreprises pensaient de la situation à l'époque, les trois quarts des organisations à l'époque ne voyant aucun changement ou une aggravation du déficit de compétences dans tech (voir graphique ci-dessous).

Cela a constitué un obstacle majeur pour de nombreuses entreprises dans l'embauche de candidats pour leurs besoins technologiques et informatiques.

Écart de compétences technologiques tel que rapporté par les entreprises | Comment la pénurie de compétences techniques affecte votre entreprise

Changements depuis la pandémie

De nombreux changements dans la façon dont les organisations abordent des sujets tels que la maturité technologique et la cybersécurité ont été mis en avant par la pandémie et ont exacerbé les problèmes existants qui affectaient de toute façon la pénurie de talents.

En 2020, lorsque les confinements se sont généralisés, les entreprises qui ne disposaient pas de la technologie nécessaire pour, par exemple, fournir les ressources appropriées à une main-d'œuvre entièrement distante, ont dû changer rapidement et adopter les talents et les solutions pour ce faire.

Cela a affecté pratiquement tous les secteurs d'activité, qu'il s'agisse des ventes, du marketing, du développement de produits/services - chaque aspect des processus d'une entreprise a soudainement eu besoin d'une capacité technologique de base pour rester efficace dans ses opérations.

Webinaire connexe : Surmonter la pénurie de talents | Exigences commerciales modernes

Considérations pour les solutions techniques

C'est au cours de cette période que de nombreuses entreprises se sont penchées sur ce qu'elles devaient réduire pour rester solvables, mais aussi sur ce dans quoi elles devaient investir pour la même raison : il est très inutile de réduire les dépenses pour maintenir une entreprise à flot si elle devait subir une perte de données coûteuse. violation et subir des dommages financiers pires en cas d'événement.

Alors, où se dirigent ces investissements ? Si nous jetons un coup d'œil aux données de Microsoft d'août 2020, nous pouvons voir que les cinq principaux investissements depuis le début de la pandémie en ce qui concerne la sécurité sont :

  1. Authentification multifacteur (MFA) – 20 %
  2. Protections des terminaux – 17 %
  3. Outils anti-hameçonnage – 16 %
  4. RPV – 14 %
  5. Formation à la sécurité des utilisateurs finaux - 12 %

Bon nombre de ces solutions, en particulier la protection des terminaux, les VPN et d'autres outils de sécurité, nécessitent l'expertise d'un professionnel de la cybersécurité afin de les maintenir.

Prenez la protection des terminaux, par exemple. Il est courant pour les membres du personnel de cybersécurité de gérer la protection des terminaux via une plate-forme cloud, comme Cisco Meraki (qu'Impact utilise avec les clients).

L'approvisionnement, la sécurisation et la maintenance des appareils, en particulier avec des effectifs répartis sur plusieurs bureaux ou ne fonctionnant pas sous un seul réseau, ne sont pas faciles et nécessitent une certaine forme de surveillance.

Lorsque vous tenez compte de tous les autres aspects de la sécurité des informations et de l'entreprise, comme la conformité par exemple, il n'est pas difficile de comprendre pourquoi l'embauche d'un personnel de sécurité en plus du personnel informatique existant n'est pas faisable pour de nombreuses organisations.

Qui embauche ?

La plupart des entreprises sont conscientes qu'elles doivent augmenter leurs dépenses en cybersécurité, et beaucoup d'entre elles le font, souvent au détriment de leurs budgets informatiques plus larges.

Kaspersky rapporte que si les budgets informatiques sont restés stagnants entre 2018 et 2020, les budgets de sécurité ont généralement augmenté de 11 à 15 %, ce qui indique une nette propension à privilégier les initiatives de sécurité par rapport aux projets informatiques, même si cela se fait au détriment de l'informatique en général.

Le marché total de la cybersécurité valait 3,5 milliards de dollars en 2004. En 2017, il était estimé à 120 milliards de dollars et d'ici 2022, il devrait atteindre 170 milliards de dollars.

À la suite de cette budgétisation, la majorité des PME font face à un budget de cybersécurité d'environ 275 000 $, contre environ 14 millions de dollars pour les grandes entreprises.

Ce que cela représente est une tâche presque impossible pour les petites et moyennes entreprises.

Considérez certains postes de cybersécurité et leurs salaires moyens :

  • Responsable de la sécurité de l'information : 125 000 $ – 215 000 $
  • Ingénieur en cybersécurité : 120 000 $ – 200 000 $
  • Ingénieur en sécurité des applications : 120 000 $ – 180 000 $
  • Analyste en cybersécurité : 90 000 $ – 160 000 $
  • Testeur de pénétration : 80 000 $ – 130 000 $
  • Ingénieur en sécurité réseau : 125 000 $ – 185 000 $
  • Responsable de la conformité des soins de santé : 120 000 $

Dans l'environnement actuel, les postes en cybersécurité sont très demandés et exigent des salaires élevés, un obstacle qui est tout simplement trop difficile à franchir pour beaucoup.

Si nous prenons ce budget moyen d'environ 275 000 $ que beaucoup d'entreprises ont pour leur cybersécurité, il est évident qu'il se tarira très rapidement rien que pour les talents, et cela sans même payer un centime pour les solutions technologiques.

Cela a conduit les entreprises à hésiter à embaucher de nouveaux employés en cybersécurité ou même une équipe de sécurité, ce qui correspond aux réserves courantes, avec environ 54 % des chefs d'entreprise préoccupés par les dépenses en personnel de cybersécurité.

Trois personnes regardant un espace vide dans un puzzle | Comment la pénurie de compétences techniques affecte votre entreprise

Comment les entreprises réagissent-elles à cela ?

Des choses contradictoires sont en jeu ici : les entreprises doivent équilibrer leurs budgets tout en dépensant davantage en cybersécurité pour se protéger.

La question pour beaucoup est alors la simple question de savoir quoi faire? Pour beaucoup, la réponse a été de sous-traiter leurs besoins de sécurité à un tiers.

Un MSSP est un fournisseur de services de sécurité gérés. Le concept n'est pas différent de tout autre service géré - le MSSP fournit les ressources (technologie et personnel) et l'entreprise cliente conclut un contrat de service avec le MSSP.

Les MSSP de qualité offriront un contrat mensuel à frais fixes à leurs clients, afin qu'ils ne soient pas confrontés à des factures imprévues.

Le marché des services de sécurité gérés a considérablement augmenté au cours des dernières années, passant de 32 milliards de dollars en 2020 à 46 milliards de dollars prévus d'ici 2025, soit un taux de croissance annuel composé (TCAC) de 8 %.

L'embauche d'un MSSP pour la cybersécurité permet à l'entreprise de tirer parti de l'expertise et des outils dont dispose le MSSP, sans se ruiner en constituant une équipe complète de cybersécurité en interne.

Bien sûr, une équipe interne connaîtra toujours mieux une entreprise, c'est pourquoi il est important pour les entreprises de déterminer quel type de MSSP est souhaitable pour leur organisation particulière - tous les fournisseurs de services ne sont pas créés de la même manière.

Article connexe : À quels services MSSP devez-vous vous attendre de la part de votre partenaire de sécurité ?

Conclusion

Le risque accru que les entreprises soient victimes de la cybercriminalité a créé une forte demande de professionnels et de services en cybersécurité.

Cela a à son tour exercé une pression sur les organisations pour qu'elles trouvent de la place dans leurs budgets pour accueillir un programme de sécurité, mais pour la majorité, il est tout simplement trop difficile de le faire.

Les entreprises doivent choisir soit d'ignorer la menace de la cybercriminalité et de se mettre la tête dans le sable (ce que font réellement un nombre non négligeable d'entreprises), soit de trouver un autre moyen d'élaborer une stratégie de défense.

Les MSSP en tant qu'alternative offrent aux organisations la possibilité d'investir dans leur cybersécurité tout en respectant un budget, et c'est en grande partie la raison pour laquelle l'industrie des services de sécurité gérés a pris son envol ces dernières années.

Les entreprises qui s'inquiètent de l'état de leur défense en matière de cybersécurité doivent être réalistes quant à la menace de la cybercriminalité, mais également réalistes quant à leur budget.

La pénurie de cybersécurité, bien que des améliorations aient été observées au cours de la dernière année, reste un problème pour les entreprises qui embauchent des talents en sécurité et un problème qui touche aujourd'hui de nombreuses entreprises qui cherchent à protéger leurs données et leurs processus.

Ces organisations devraient fortement envisager un fournisseur de services de sécurité gérés afin de répondre à leurs besoins avec un budget, car il est peu probable que la pénurie de compétences en cybersécurité s'atténue dans la mesure nécessaire pour être abordable pour les PME de sitôt.

Apprenez-en plus sur ce qu'implique une stratégie de cybersécurité complète et sur la manière dont un MSSP répond à ces besoins dans notre livre électronique, What Makes a Good Cybersecurity Defense for a Modern SMB?