La pensée critique et la résolution de problèmes sont considérées comme des attributs essentiels pour le professionnel de la cybersécurité. Il est donc temps que notre industrie applique ces capacités pour faire le lien entre la pénurie de compétences et le manque de diversité.
Il ne fait aucun doute que le recrutement de talents en nombre suffisant à l’heure actuelle est un défi croissant, mais c’est un défi que je pense qu’un vivier de talents plus inclusif aiderait à atténuer.
Dans son Cybersecurity Workforce Study 2021, l’organisme industriel (ISC)2 a constaté que 2,7 millions d’emplois en sécurité de l’information restent vacants dans le monde. Bien que ce nombre soit en baisse par rapport à 3,1 millions en 2020, nous sommes loin de l’endroit où nous devons être. Face à la numérisation croissante et à une vague croissante d’attaques, l’effectif actuel de 4,2 millions de personnes dans le monde en matière de cybersécurité doit croître de 65 % pour répondre à la demande de ses compétences.
En d’autres termes, nous allons devoir puiser dans un vivier de talents plus large pour combler les lacunes. Mais comme le soulignent des chercheurs du groupe de réflexion basé à Washington, DC, l’Aspen Institute dans leur rapport sur la diversité, l’équité et l’inclusion dans la cybersécurité, les efforts de diversité à ce jour « n’ont pas abordé la blancheur et la masculinité écrasantes du domaine de la cybersécurité ». Les estimations suggèrent que seulement 4% des travailleurs américains de la cybersécurité s’identifient comme hispaniques, 9% comme noirs et 24% comme femmes, note le rapport.
Il est clair que notre industrie est confrontée à de sérieux risques futurs si elle ne trouve pas de moyens de recruter de nouveaux talents pour combler le nombre croissant de postes vacants. Mais plus que cela, son manque actuel de diversité pose Suite des risques immédiats car les systèmes de l’entreprise ne sont pas homogènes, et les agresseurs potentiels non plus.
Les auteurs de The Business Value of a Diverse Infosec Team du groupe de réflexion sur la cybersécurité Institute for Critical Infrastructure Technology insistent sur ce point : « Des expériences et des perspectives homogènes donnent moins de succès par rapport à la résolution de problèmes effectuée par des équipes aux antécédents variés.
Les stratégies de cybersécurité proactives, en revanche, regroupent une multitude de perspectives, ce qui profite à l’innovation, à la résolution de problèmes et à la recherche de consensus.
Changer le récit
En tant que directeur de la sécurité de l’information (CISO) de la société de solutions de recherche Elastic, je pense que les responsables individuels de la sécurité de l’information peuvent faire beaucoup pour changer le discours, du moins au sein de leur organisation. Cela nécessite une bonne dose de réflexion nouvelle en matière de recrutement.
L’équipe de cybersécurité que je dirige en tant que RSSI féminine LGBTQIA+ comprend des personnes qui représentent l’éventail de la nature humaine en matière de neurodiversité, d’orientation sexuelle, d’identité de genre, de race et d’âge. Le tableau est tout aussi varié en ce qui concerne les antécédents, le parcours scolaire et l’expérience dans l’industrie.
Mais permettez-moi d’être clair : la diversification du bassin de talents en cybersécurité n’est pas seulement un jeu de chiffres pour moi. Je ne me concentre pas uniquement sur l’intégration en nombre suffisant pour gérer une équipe complète. Il s’agit également d’améliorer la qualité de cette équipe et le travail que nous effectuons.
En termes simples, une équipe de cybersécurité plus diversifiée est une meilleure équipe de cybersécurité. Dans un domaine multidisciplinaire comme celui-ci, différentes perspectives sont essentielles. Lorsque les menaces et les tactiques changent quotidiennement autour de nous, les divers points de vue de mon équipe aident à contrer la complaisance en apportant une nouvelle réflexion aux situations. Nos adversaires, après tout, essaient continuellement de nouvelles tactiques, trouvent de nouvelles façons de contourner les contrôles et d’identifier les vulnérabilités. Les différentes perspectives de mon équipe apportent un « état d’esprit de hacker » plus perturbateur à notre travail de lutte contre les attaques.
La dépendance excessive de notre industrie à l’égard de spécialistes possédant les « bonnes » qualifications et formations pourrait en fait être une faiblesse – un point de vue renforcé pour moi par le livre de David Epstein en 2019, « Range : Why Generalists Triumph in a Specialized World ». Epstein soutient que les généralistes aux intérêts variés sont plus créatifs, plus agiles et capables d’établir des connexions que leurs pairs plus spécialisés ne peuvent pas voir, en particulier dans des domaines complexes et imprévisibles – une description qui convient bien à la cybersécurité.
La valeur d’une réflexion diversifiée au sein de mon équipe actuelle est évidente dans le processus continu de certification de la protection des données que nous effectuons pour les clients. Pour ce processus de conformité clé, la diversité est notre force, car notre équipe peut rapidement aller au-delà de « la façon dont les choses ont toujours été faites » et trouver des moyens meilleurs, plus efficaces et, surtout, plus sûrs pour atteindre les objectifs de conformité changeants.
L’approche de mon équipe pour soutenir notre main-d’œuvre entièrement répartie est un autre exemple où j’ai vu un avantage évident à la pensée diversifiée. Être une entreprise distribuée par conception, avec près de 80 % de nos employés travaillant à distance, exige que mon équipe pense différemment en matière de confidentialité et de protection des données. Notre innovation constante dans la prise en charge du travail à distance sécurisé signifiait que nous étions déjà préparés dans ce domaine lorsque la pandémie a frappé, tandis que les équipes de cybersécurité d’autres entreprises avaient encore du mal à faire le saut.
Prendre part
Ce qui compte le plus, bien sûr, c’est de transformer les mots en actes. Pour moi, cela aide que je travaille pour une organisation qui priorise l’inclusivité et l’acceptation pour tous les employés dans son code source.
Cela donne aux gestionnaires et aux employés un ensemble clair d’indices sur qui nous sommes en tant qu’organisation et qui nous aspirons à être, en disant aux employés : « Venez comme vous êtes. » En créant un environnement inclusif pour tous les employés, grâce à un engagement envers l’égalité de rémunération, en mettant l’accent sur le recrutement interne et en donnant la priorité aux compétences plutôt qu’à l’emplacement, nous pouvons embaucher et retenir les meilleurs talents où qu’ils résident.
Cette année, les objectifs ambitieux de DEI de notre entreprise incluent un objectif de taux d’embauche de 40 % pour les femmes ou les individus non binaires, avec un objectif de taux d’embauche de 30 % pour les postes techniques, à l’échelle mondiale. Et pour les groupes sous-représentés, notre objectif de taux d’embauche aux États-Unis est de 35 %, avec 27 % pour les postes techniques.
Avec ce soutien, j’ai personnellement pris des mesures positives pour m’assurer qu’Elastic augmente la diversité dans son pipeline de talents en cybersécurité. Voici donc mes conseils pour d’autres responsables de la sécurité de l’information :
- Élargir le champ des qualifications. Regardez au-delà de la scolarité traditionnelle et de l’expérience professionnelle minimale pour voir les compétences, les qualifications, les expériences et les capacités acquises grâce à des programmes plus courts, des certificats en ligne, d’autres emplois et la participation à des communautés de cybersécurité qui soutiennent la compréhension fondamentale des systèmes et de leurs vulnérabilités.
Certaines des équipes les plus performantes que j’ai constituées au fil des ans ne sont pas seulement issues de divers horizons informatiques, tels que l’architecture de systèmes, l’analyse commerciale et la gestion de projet, mais sont totalement étrangères à la discipline informatique. Par exemple, j’ai embauché un ancien technicien médical d’urgence qui est passé à l’analyse des fraudes dans le domaine de la santé avant de rejoindre mon équipe. D’anciens avocats ont attiré l’attention sur les détails. Les personnes ayant une formation en marketing se sont révélées aptes à relever les défis de la confidentialité des données des clients avec empathie, tandis que celles du secteur financier apportent une nouvelle réflexion aux problèmes de conformité.
Mais ce qu’ils ont tous en commun, et ce qui a fait d’eux des ajouts importants à mes équipes infosec, c’est leur curiosité, leur volonté de remettre en question et leur enthousiasme à apprendre et à essayer de nouvelles choses. Ces expériences transférables sont tout aussi importantes, sinon Suite important, que des compétences spécifiques. - Encouragez les groupes sous-représentés. Ajoutez un langage qui indique explicitement votre intérêt pour les groupes souvent exclus des bassins d’embauche, tels que les femmes, les personnes de couleur et les membres de la communauté LGBTQIA+. Les descriptions de poste doivent préciser que l’entreprise favorise un environnement accueillant pour tous et encourage le développement personnel et professionnel de ses talents en matière de cybersécurité.
Par exemple, j’ai recruté pour un programme de stages des personnes récemment immigrées qui n’ont pas les qualifications de sécurité standard. La plupart de ces recrues ont rapidement occupé des postes à temps plein et ont surpassé les vétérans de la cybersécurité. J’ai également pris des mesures pour travailler plus étroitement avec les collèges communautaires locaux sur la recherche de diplômés et avec des spécialistes du recrutement qui se concentrent sur la fourniture de candidats plus diversifiés pour des rôles de cybersécurité, tels que CyberSN. - Rendez votre processus de recrutement accessible. De nombreux candidats potentiels sont découragés si le processus d’embauche n’est pas adapté aux personnes ayant des besoins d’accessibilité. Nous avons veillé à ce que tout, de notre site de recrutement à nos propriétés et outils numériques internes, respecte les directives internationales et se traduise par un environnement positif pour tous les candidats et employés.
L’embauche anonyme est une partie importante de ce processus. J’examine régulièrement les curriculum vitae sans les informations d’identification pour m’assurer que les préjugés inconscients ne jouent aucun rôle lorsque nous portons des jugements sur les candidats à un poste.
Les équipes de cybersécurité ont besoin de personnes ayant des expériences de vie, une formation et des compétences diverses, nos efforts de recrutement doivent donc toucher un public beaucoup plus large. S’ils ne le font pas, nous risquons de négliger les talents et d’exclure des points de vue qui pourraient être essentiels à la réalisation de notre mission en tant qu’industrie. Si nous permettons que cela se produise et continuons à la place à concourir pour le talent de plus en plus rare qui correspond bien aux préjugés séculaires, nous n’aurons qu’à nous blâmer.