Le chemin des pirates informatiques s’est facilité alors que 600 000 emplois dans la cybersécurité aux États-Unis restent vides

la cyber-sécurité

Crédit : Pixabay/CC0 Domaine public

Le président Joe Biden a exhorté les entreprises américaines à “renforcer immédiatement leurs cyberdéfenses” face au risque croissant de cyberattaques russes. Pour beaucoup, ce ne sera pas facile.

La guerre des talents a été bien télégraphiée dans tout le pays, mais elle est particulièrement aiguë dans le domaine de la cybersécurité. Et cela n’a fait qu’empirer à mesure que la concurrence sur le marché du travail au sens large s’est intensifiée, augmentant la vulnérabilité potentielle des entreprises aux pirates informatiques et l’urgence de renforcer la main-d’œuvre.

Environ un million de personnes travaillent dans la cybersécurité aux États-Unis, mais il y a près de 600 000 postes vacants, selon les données de CyberSeek. Parmi ceux-ci, 560 000 sont dans le secteur privé. Au cours des 12 derniers mois, les offres d’emploi ont augmenté de 29 %, soit plus du double du taux de croissance entre 2018 et 2019, selon Gartner TalentNeuron, qui suit les tendances du marché du travail.

“La pénurie de talents en cybersécurité s’est définitivement aggravée”, a déclaré Jamie Kohn, directeur de la recherche en ressources humaines chez Gartner Inc., une société de recherche et de conseil en technologie. “Nous pensions que nous avions peut-être cinq ans pour faire venir ces professionnels, et maintenant nous essayons de le faire du jour au lendemain.”

Les travailleurs possédant les compétences techniques requises pour répondre aux cybermenaces étaient déjà difficiles à trouver avant que la pandémie de COVID-19 n’oblige les employés à travailler à domicile. Mais une confluence d’événements a encore accru la demande pour des postes tels que développeurs de logiciels, testeurs de vulnérabilité, ingénieurs réseau et analystes en cybersécurité.

Avec autant d’employés utilisant leurs réseaux et ordinateurs domestiques, les tentatives de phishing ont explosé, tout comme les attaques de ransomwares contre les entreprises, les écoles, les hôpitaux et d’autres organisations.

Une attaque de ransomware contre Colonial Pipeline Co. a provoqué l’achat de carburant par les Américains, entraînant des pénuries d’approvisionnement sur la côte Est en mai dernier, tandis que d’autres incidents très médiatisés ont été attribués à des pirates informatiques soutenus par des adversaires américains. En décembre 2020, par exemple, les enquêteurs ont révélé une campagne de cyber-espionnage dans laquelle des pirates russes parrainés par l’État ont exploité des logiciels fabriqués par SolarWinds Corp. pour infecter certains clients. Moscou a nié toute implication dans l’affaire.

“Il y a des moments dans la cybersécurité où le marché se développe même plus rapidement et où la demande est plus chaude et je pense que nous avons lancé l’un de ces cycles avec SolarWinds”, a déclaré Bryan Palma, PDG de Trellix Corp. “Maintenant, nous avons la Russie- Conflit en Ukraine. Nous constatons que la cybersécurité croît plus rapidement que les 16 % normaux chaque année, ce qui entraîne donc le besoin d’encore plus de compétences et de professionnels dans ce domaine.”

La pénurie de cybertravailleurs est un problème particulier pour les petites organisations, des municipalités aux cabinets d’avocats en passant par les hôpitaux et les entreprises, qui ne peuvent pas offrir un salaire suffisamment élevé pour attirer des travailleurs hautement qualifiés, a déclaré Max Shuftan, directeur des programmes de mission et des partenariats au SANS Institute, organisme de formation en cybersécurité.

“La plupart des agences publiques civiles ne peuvent pas payer ce que le secteur public peut”, a déclaré Shuftan. “Dans le même temps, les petites entreprises – des entreprises qui ne font pas partie d’un secteur dont vous vous inquiétez normalement – n’auront probablement pas le personnel et cela les rend plus vulnérables aux attaques.”

L’année dernière, des attaques de rançongiciels ont affecté les opérations d’organisations, notamment un système hospitalier de San Diego, un fournisseur de paie national et le réseau de bureaux du procureur général de l’Illinois.

“Notre infrastructure critique, notre mode de vie est vraiment sous attaque cybernétique en permanence”, a déclaré Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures lors d’un discours à la mi-mars. “Et notre crise géopolitique actuelle ne fait qu’exacerber cette menace. Si nous ne faisons rien, il y aura encore 3,5 millions d’emplois non pourvus dans la cybersécurité d’ici 2025.”

Le département de la Sécurité intérieure a déployé en novembre un nouveau système d’embauche de personnel de cybersécurité qui permettrait aux travailleurs fédéraux de la cybersécurité de gagner jusqu’à 255 800 $, soit l’équivalent du salaire du vice-président Kamala Harris. Le nouveau système d’échelle salariale a été créé pour aider le DHS à concourir pour les talents, selon le DHS.

L’industrie de la cybersécurité n’est pas non plus à l’abri des tendances macroéconomiques plus larges qui bouleversent le marché du travail, notamment le désir de travailler à distance, d’horaires flexibles et de salaires plus élevés. Trellix, par exemple, adoptera un modèle hybride dans lequel les employés concilient travail à distance et travail depuis des bureaux.

En 2020, le salaire annuel moyen des analystes de la sécurité de l’information était de 107 580 $, soit près du double de la moyenne de toutes les professions américaines combinées, selon les données du Bureau of Labor Statistics.

“La concurrence est réelle, la grande démission est réelle, c’est définitivement une bataille au jour le jour.” dit Palma. “Et la rémunération en fait partie.” Depuis le début de la pandémie, Trellix a augmenté son effectif global de 5 %, mais l’entreprise essaie toujours de croître de 10 % ou plus.

Parce que les compétences en cybersécurité sont si demandées, les travailleurs ont une marge de négociation et peuvent passer d’une entreprise à l’autre assez facilement. Mais embaucher des professionnels de la cybersécurité d’une autre entreprise ne résout pas le problème sous-jacent : qu’il n’y a pas assez de travailleurs qualifiés, a déclaré Stuart Madnick, professeur de technologies de l’information à la MIT Sloan School of Management.

Des pays comme la Russie, la Chine et Israël qui ont un service militaire obligatoire ont un meilleur vivier de talents de personnes qualifiées qui ont été formées à la cybersécurité au niveau gouvernemental, selon Palma. Il a déclaré qu’il avait communiqué avec des membres du Congrès pour créer un programme de type AmeriCorps spécifiquement destiné à encourager les talents en cybersécurité, car il n’y a pas assez d’Américains formés via les services gouvernementaux.

D’autres efforts pour augmenter le vivier de talents comprennent la mise en place de cours de cybersécurité dans les lycées, l’offre d’ateliers aux professionnels de l’informatique de niveau inférieur, l’organisation de formations dans les régions rurales et la suppression des exigences en matière de diplômes au profit de tests d’aptitude. L’automatisation de certaines tâches liées à la sécurité pourrait également être une solution au problème d’embauche.

“Nous avons une pénurie massive d’experts en sécurité sur la planète, et nous voulons automatiser une grande partie des talents et des capacités”, a déclaré Kevin Mandia, PDG de Mandiant Inc., lors d’un briefing avec des journalistes début mars. “C’est tout ce que le logiciel a jamais été, c’est l’automatisation des processus humains.”

Mais aucune de ces solutions n’est immédiate, et les menaces le sont.

“Le pire est encore à venir”, a déclaré Madnick du MIT. “Pas seulement parce que les choses empirent chaque année, mais nous avons conclu que les perturbations que nous constatons ne sont nulle part aussi graves qu’elles auraient pu l’être. Nous pensons que dans de nombreux cas, il s’agissait de tests.”


La plus grande compétition de piratage en ligne au monde commence la semaine prochaine


©2022 Bloomberg LP Distribué par Tribune Content Agency, LLC.

Citation: Le chemin des pirates informatiques s’est assoupli alors que 600 000 emplois de cybersécurité aux États-Unis restent vides (2022, 30 mars) récupéré le 30 mars 2022 sur https://techxplore.com/news/2022-03-hackers-path-eased-cybersecurity-jobs.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.