Journal de l'économie

Envoyer à un ami
Version imprimable

La pénurie de talents en Cyber Sécurité






Cet article réalisé avec Jeanne Leroy (1), sociologue, porte sur le manque de talents en cyber sécurité (appelé dans la littérature anglo-saxone « Cyber Security Skills Shortage - CSSS » est désormais pleinement reconnue par les gouvernements. D'ailleurs cette question fait souvent l'objet de débats et discussions dans les médias grand public. Mais en dépit de cet objet d'attention, peu d'informations consistantes circulent sur cette réalité sociale et économique (2).


La pénurie de talents en cyber sécurité (appelée dans la littérature anglo-saxone « Cyber Security Skills Shortage - CSSS » est désormais pleinement reconnue par les gouvernements et fait souvent l'objet de discussions dans les médias grand public (De Zan 2020 ; Nachreiner 2019). Pourtant, nous en savons encore très peu à ce sujet. Le principal problème est que nous ne réalisons probablement même pas à quel point nos connaissances sur la pénurie sont rares. En effet, la plupart du débat public sur la CSSS a été alimenté par des rapports du secteur privé, qui sont souvent cités par les médias et/ou par les gouvernements dans la justification de leurs politiques. Est-il sûr de se fier à ces estimations comme fondement de nos documents de recherche et de nos politiques nationales? Le fait que les prévisions de la pénurie soient à la fois en augmentation constante et imprévisible est un signal d'alarme qui devrait nous faire réfléchir à la manière dont les calculs ont été effectués.

Des données au niveau national

La majorité des rapports sur le CSSS suggèrent que la pénurie se produit à l'échelle mondiale. Cependant, ces quantifications nous amènent à supposer que la nature de la CSSS est identique dans chaque pays. Bien qu'il soit possible que la pénurie dans un pays soit similaire à une pénurie ailleurs, il reste nécessaire de bien définir nationalement cette CSSS afin de proposer des solutions plus spécifiques. Le fait d'avoir une batterie d'indicateurs communs qui pourraient nous aider à identifier le problème ne signifie pas que le problème est dû aux mêmes causes. Par exemple, deux pays peuvent avoir une offre limitée de diplômés en cyber sécurité à la sortie du système éducatif, mais les raisons de cette pénurie peuvent être différentes. Un pays pourrait avoir un nombre limité d'étudiants entrant dans des formations supérieures en cyber sécurité, mais un autre pays pourrait ne pas avoir assez de diplômes en cyber sécurité pour satisfaire la demande des étudiants. Dans ce cas, le problème est le même, mais leurs raisons fondamentales sont différentes et leurs remèdes politiques doivent l'être aussi. Au niveau national, rares sont les pays ayant conduit leur propre mesure de la pénurie (Japon en 2013; Etats-Unis et l’Australie en 2017).

Des données issues d’organismes privés…

Il y a des raisons de craindre que ces rapports donnent une vision déformée de la pénurie. En effet, ces derniers ayant majoritairement des finalités commerciales ils fonctionnent autant comme de la publicité que du renseignement. Dans cette optique, il a déjà été établi un biais de sélection de la part des organisations privées dans l’estimation des cyber-menaces venant négliger les menaces de la société civile (Maschmeyer, Deibert, et Lindsay, 2021). Les rapports sur les cyber-menaces présentent des échantillons tronqués de cyber conflits qui sous-représentent le ciblage de la société civile et fausse le débat académique ainsi que le débat public. Les rapports sur la CSSS, quant à eux, utilisent davantage une méthodologie d’enquête souffrant d’un manque de validité et/ou de rigueur scientifique. Ainsi, parmi les rares études communiquant sur leur méthodologie on observe des biais dans la formulation des items. Comme la formulation suggestive de la première partie de cette question : « La pénurie mondiale de compétences en cyber sécurité a fait couler beaucoup d'encre. Cette tendance a-t-elle eu un impact sur l'organisation pour laquelle vous travaillez ?» (ESG-ISSA, 2021). La présence de deux idées dans une même question « Pensez-vous que la pénurie de compétences en cyber sécurité et son impact sur les organisations comme la vôtre : s'est aggravé au cours des dernières années » (Tripwire, 2020). La méthodologie mise en place par l’(ISC)2 dans son calcul de la pénurie pays par pays souffre également de s’appuyer sur des coefficients de calculs établis à partir de données américaines.

…face à un manque de données scientifiques

La pénurie de compétences en matière de cybersécurité n'est pas un sujet facile à traiter pour les chercheurs, car elle nécessite un mélange unique d'expertise. Alors même qu'il est difficile de distinguer les pénuries véritables des pénuries exagérées (Cappelli 2015) les mesures scientifiques du phénomène tardent à venir. En effet, la littérature sur les pénuries de compétences est une niche dans la littérature croissante sur l'inadéquation des compétences, McGuiness, Pouliakas et Redmond (2018) n'ont trouvé que 12 articles sur ce sujet écrits sur la période 1994 et 2017.

Pour étudier l'incidence de la pénurie, il convient de préciser le type de professionnels de la cyber sécurité qui manquent sur le marché du travail et à quel niveau d'expérience. La pénurie ne se produit pas partout et à tous les niveaux, ce qui signifie qu'elle se produit à la fois horizontalement, à travers divers rôles et tâches professionnels, et verticalement, à des niveaux d'expérience différents. Il est important de savoir si la pénurie se produit davantage au niveau intermédiaire ou supérieur qu'au niveau inférieur pour calibrer la bonne réponse politique. A titre d’exemple, si le marché du travail manque de jeunes professionnels, il serait plus facile de situer l'essentiel du problème de la pénurie dans le système d'éducation et de formation. Les questions cruciales auxquelles il faut répondre sont les suivantes : "Que recherchent les employeurs chez un candidat ? Quels types de connaissances et de compétences font défaut ? À quel niveau d'expérience ?"

Cappelli, P. H. (2015). Skill gaps, skill shortages, and skill mismatches: Evidence and arguments for the United States. ILR review, 68(2), 251-290.
De Zan, T. (2020). Future research on the cyber security skills shortage. In Cyber Security Education (pp. 194-207). Routledge.
Maschmeyer, L., Deibert, R. J., & Lindsay, J. R. (2021). A tale of two cybers-how threat reporting by cybersecurity firms systematically underrepresents threats to civil society. Journal of Information Technology & Politics, 18(1), 1-20.
McGuinness, S., Pouliakas, K., & Redmond, P. (2018). Skills mismatch: Concepts, measurement and policy approaches. Journal of Economic Surveys, 32(4), 985-1015.
Leroy J. (2021), "Psyber Sécurité : L’apport de la psychologie dans le management de la cybersécurité ", Revue RMS, Février.
Leroy J., Meier O. (2021), "Transformer la cybersécurité par la durabilité ", Article ASAP, Observatoire Action Sociétale et Action Publique.
Nachreiner, C. (2019). Can CTFs Help Close the Cybersecurity Skills Gap?, Council Post. Available at: www.forbes.com/sites/forbestechcouncil/2019/11/22/can-ctfs-help-clo se-the-cybersecurity-skills-gap/#15607ed512b0 (accessed 1st october 2021).
De Zan, T. (2020). Future research on the cyber security skills shortage. In Cyber Security Education (pp. 194-207). Routledge.

Notes

(1) Jeanne Le Roy, co-auteure de l'article, est enseignante-chercheuse (Observatoire ASAP), spécialisée dans le champ du comportement organisationnel et de la cybersécurité.

(2) Cet article s'inscrit dans un programme de recherche porté par l’observatoire Action Sociétale et Action Publique (ASAP). Il ambitionne de dégager l’apport des sciences sociales dans la réduction de la pénurie des compétences en cybersécurité à partir de deux volets d’études: (volet 1 ) l’étude de l'incidence de la pénurie et (volet 2) l’étude de l'effectivité des politiques destinées à l'endiguer.


Olivier Meier
Olivier Meier est Directeur de recherche au LIPHA Paris Est, visiting Professor au centre européen... En savoir plus sur cet auteur


Nouveau commentaire :
Twitter

Le JDE promeut la liberté d'expression, dans le respect des personnes et des opinions. La rédaction du JDE se réserve le droit de supprimer, sans préavis, tout commentaire à caractère insultant, diffamatoire, péremptoire, ou commercial.

France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Culture | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"













Rss
Twitter
Facebook