Il est diplômé d’une université dont je n’avais jamais entendu parler. Il a obtenu une maîtrise à Villanova, mais c’était en développement des ressources humaines. Il a passé 16 ans dans le Corps des Marines dans divers rôles militaires et civils, mais aucun n’impliquait directement la cybersécurité. Son emploi le plus récent était celui de chef de projet dans une entreprise de construction.
Lorsque j’ai demandé à d’autres cadres supérieurs de mon entreprise, Sumo Logic, de l’interviewer pour un poste de responsable du centre des opérations de sécurité (SOC), j’ai d’abord été accueilli avec des haussements d’épaules et des roulements d’yeux. « Pourquoi est-ce que je parle à ce type ? » est allé la réponse typique. « Il ne semble pas du tout en forme. »
Ce qu’ils ne savaient pas, c’est que lors de mon entretien précédent avec Roland Palmer, j’avais conclu en une demi-heure que le travail était le sien. J’ai été époustouflé par son désir intense d’assumer des missions difficiles et de gagner. Cet ex-Marine avait fait face à des défis de taille, comme planifier des opérations de communication en Afghanistan et aider à évacuer des centaines de personnes d’une zone du Japon contaminée par une marée noire. Gérer un SOC peut être épuisant, un barrage constant de crises et de tickets d’incident, mais Roland, malgré le manque de travail de sécurité sur son CV, semblait né pour cela.
J’ai dit à mes collègues : « J’aimerais que vous lui parliez, mais si vous ne le faites pas, je l’embauche quand même. Ils ont fini par tomber amoureux de Roland aussi. Il a obtenu le poste.
C’était il y a trois ans. En 2020, Roland a été promu directeur SOC senior. La même année, il a remporté le prix le plus prestigieux de notre entreprise pour les réalisations des employés.
Je raconte cette histoire parce que je pense qu’elle en dit long sur ce que les entreprises et leurs organisations de cybersécurité doivent faire pour surmonter l’un de leurs plus grands obstacles : embaucher de grands talents dans un marché du travail absurdement tendu.
« La crise des compétences en cybersécurité se poursuit sur une tendance à la baisse sur plusieurs années de mal en pis et a touché plus de la moitié (57%) des organisations », a déclaré un récent rapport de l’Information Systems Security Association et du cabinet d’analystes Enterprise Strategy Group. Selon Cybersecurity Ventures, il y a maintenant 3,5 millions d’emplois non pourvus dans la cybersécurité – assez pour remplir 50 stades de la NFL.
À une époque où les attaques de ransomwares, les violations de données et les intrusions dans la chaîne d’approvisionnement montent en flèche – le volume de l’activité de cyber-intrusion dans le monde a grimpé de 125% au premier semestre 2021 par rapport à la même période l’année dernière, selon une étude d’Accenture – qu’est-ce qu’une entreprise censé faire?
La cybersécurité est trop importante pour risquer d’avoir des membres de l’équipe qui ne peuvent pas (sans jeu de mots) la pirater. Attendez de trouver les meilleures personnes, quoi qu’il arrive.
Le directeur de la sécurité (CSO) d’aujourd’hui doit commencer non seulement par accepter, mais aussi par adopter la chasse aux talents comme une partie essentielle du travail. (J’y consacre au moins 10 % de ma semaine, souvent plus.) Ensuite, ils doivent briser les vieilles hypothèses sur l’origine des bons professionnels de la sécurité et faire preuve d’ouverture d’esprit et de créativité dans leur recherche.
Cinq conseils :
Attention au syndrome du corps chaud
Soyons honnêtes : il est tentant de recruter n’importe qui, non seulement parce que les postes de cybersécurité doivent être pourvus, mais en raison de pressions supplémentaires telles que la protection des effectifs avant que les postes vacants ne soient supprimés après un mauvais trimestre.
Ne le faites pas. La cybersécurité est trop importante pour risquer d’avoir des membres de l’équipe qui ne peuvent pas (sans jeu de mots) la pirater. Attendez de trouver les meilleures personnes, quoi qu’il arrive.
Degrés, shmegrees
Être diplômé d’une institution prestigieuse est une plume dans le chapeau de quelqu’un, et je ne veux pas du tout l’ignorer, mais c’est en bas de ma liste de prérequis. Le dynamisme, l’ambition, le calme sous pression, l’esprit d’équipe et la conscience de la situation sont bien plus importants.
Au cours de ma première semaine à Sumo, en 2015, j’ai assisté à une réunion d’introduction avec plusieurs collègues cadres diplômés d’écoles comme Stanford, UC-Berkeley et MIT. Quand ce fut mon tour de parler davantage de moi, j’ai parlé à tout le monde autour de la table de conférence de mon alma mater : Regis University, une petite université jésuite à Denver.
Je n’étais pas gêné; J’étais fier. Et en embauchant d’autres personnes, j’ai maintenu une philosophie de valorisation des compétences et des qualités personnelles par rapport aux antécédents universitaires.
La résilience compte autant sinon plus que l’expérience
Travailler dans une organisation de cybersécurité est l’un des emplois les plus stressants au monde, l’épuisement professionnel étant une préoccupation constante. Selon un rapport du Chartered Institute of Information Security, 51 % des professionnels de la sécurité sont tenus éveillés la nuit par le stress au travail.
Ainsi, bien que l’expérience passée en matière de sécurité soit un énorme avantage, la capacité à gérer ou même à apprécier la pression compte tout autant. Je dis toujours aux candidats à un emploi : « Ce travail va être dur, ça va être dur. Mais la mission est vitale. Les yeux de certaines personnes s’illuminent lorsqu’ils entendent cela – c’est qui vous voulez, peu importe ce qu’il y a sur leur CV.
Exploiter des sources non traditionnelles
Roland Palmer est un exemple de la façon dont les meilleurs professionnels de la cybersécurité ne viennent pas nécessairement du monde de la cybersécurité. Mais il y en a beaucoup d’autres.
Par exemple, j’ai découvert que les organisations de développement de logiciels constituaient un terreau fertile pour les talents en sécurité. Les méthodes de développement agiles telles que DevOps sortent le développement, les opérations et la sécurité de leurs silos traditionnels. On s’attend maintenant à ce que tout le monde travaille ensemble pour favoriser un pipeline logiciel rapide, efficace et sécurisé.
Cela offre de nouvelles opportunités aux développeurs pour s’étendre dans la spécialité de la sécurité et aider à piloter le cycle de vie des logiciels de l’entreprise d’une manière différente tout en élargissant leurs propres horizons.
Comme je le dis souvent aux développeurs : « Si vous rejoignez notre équipe, vous travaillez sur l’infrastructure dans le cloud, vous travaillez sur les applications et sur la manière dont les API et les microservices interagissent. Et en cours de route, vous développez une compréhension de haut niveau du pipeline logiciel et contribuez à la mise en place d’une culture de sécurité intégrée. Et si vous décidez de revenir à l’ingénierie à l’avenir, vous êtes mieux préparé à le faire avec une expérience plus large et l’état d’esprit de la sécurité qui est devenu si crucial.
Je regarde également les personnes ayant une formation en opérations financières en raison de leur orientation vers la conformité réglementaire et de leur souci du détail qui est essentiel au travail de sécurité.
Rechercher l’empathie
Quand j’ai commencé dans la sécurité, j’ai senti que d’autres employés se cacheraient de moi quand ils me verraient marcher dans le couloir. Ils me considéraient comme le méchant qui arrivait pour se taper sur les doigts pour un problème de sécurité.
Dans la culture plus collaborative d’aujourd’hui, cela ne vole plus. Les professionnels de la sécurité doivent être considérés comme des coéquipiers de confiance pour se sentir à l’aise. Par conséquent, une personnalité collaborative et empathique est un trait que je recherche toujours chez les candidats potentiels.
Qu’ils le veuillent ou non, embaucher des personnes de premier ordre est devenu l’une des facettes les plus importantes et les plus difficiles du travail d’un OSC, et cela ne changera pas de si tôt. Mais avec de la détermination et une réflexion originale, ils peuvent relever le défi.