Comment définir ses besoins en compétences cybersécurité ?

Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser. La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.

Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.

1. Justifier et qualifier son besoin en ressources.

Cet exercice peut se faire à partir de tout élément tangible pouvant alimenter une argumentation à présenter à la direction : analyses de risques en relation avec le business, audits, historiques d’incidents, exigences des régulateurs, conformité légales…La management cherchera aussi la plupart du temps à se situer par rapport à ses concurrents. Le choix recrutement externe, recrutement interne ou recours à la prestation sera aussi à discuter et à décider en fonction du contexte. Par exemple, certains groupes (les grandes banques en particulier) font le choix de disposer d’un CERT interne (computer emergency response team) ou CSIRT alors que de nombreuses sociétés font appel à de la prestation externe dans ce domaine spécifique.

2. Déterminer les compétences et les niveaux d’expérience requis.

Afin d’éviter le syndrome du « mouton à cinq pattes », la définition des profils devra se faire au plus proche de ce qui est nécessaire, sans « inflation ». Des référentiels de compétences peuvent constituer une aide appréciable. Par exemple, le e-CF (European e-Competence Framework) fournit un langage commun pour les métiers des nouvelles technologies. Le CIISec Skills Framework est un cadre très utilisé par les anglo-saxons. Il permet de définir des niveaux de compétences et d’expériences dans les domaines de la cybersécurité : gouvernance (politiques et standards, stratégie, sensibilisation, conformité, gestion des sous-traitants), risques (modélisation des menaces, évaluation des risques), mise en œuvre (schémas directeurs, architectures techniques, développements), audits (internes, tests d’intrusion, évaluations fonctionnelles), opérations, réactions aux incidents (détection, analyse, investigations numériques, réponse aux incidents), continuité des activités, innovation et recherche.

3. Mesurer les niveaux des profils (par exemple lors d’un processus de recrutement ou d’un exercice d’évaluation de la ressource interne et des possibilités de montée en compétences).

Les certifications professionnelles (par exemple le CISSP, le CCSP pour la sécurité du Cloud ou le CIPP/E pour le Data Protection Officer), bien que ni nécessaires ni suffisantes, sont souvent exigées pour justifier d’un niveau de compétence et d’expérience. Les mises en situation sont parfois utilisées pendant les entretiens de recrutement (comment mieux mesurer les compétences et l’expérience d’un pentester qu’en situation ?).

4. Prendre en compte les compétences transversales et identifier les possibilités d’évolutions de carrière.

La capacité à travailler en équipe, à communiquer vers des personnes non techniques, le niveau de rédaction, la maitrise d’une ou plusieurs langues non maternelles, l’expérience en gestion de projet sont autant d’aspects qui peuvent s’avérer essentiels. Les managers ou les collaborateurs ayant des responsabilités d’encadrement doivent être soigneusement choisis afin de jouer pleinement leur rôle de facilitateur. Un des points faibles des SOC (Security Operation Center) est la difficulté de conserver des ressources sur des fonctions considérées comme répétitives et à faible valeur ajoutée par les collaborateurs qui souhaitent dès que possible diversifier leurs compétences et évoluer vers d’autres fonctions. Le professionnel de la sécurité étant de plus en plus vu comme un « faiseur » plutôt qu’un « censeur », il peut aussi être intéressant de faire évoluer d’autres collaborateurs vers la cybersécurité.

PROSICA propose des missions de conseil et de coaching ciblées pour aider les groupes à définir au mieux les ressources sécurité qui répondent à leur besoin (renseignement sur simple demande à contact at prosica.fr).

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :