Pénurie de CISO ? Réévaluons les salaires !
Le manque de compétences persiste, s’inquiètent l’ESG et l’ISSA. Après le constat, l’analyse. Première raison, le salaire. A réévaluer.
Il est temps de ré-évaluer le salaire des CISO. Pour l’ISSA (Information Systems Security Association) et le cabinet d’analystes du secteur ESG (Enterprise Strategy Group), c’est la seule façon d’inverser la courbe du manque de compétence en cybersécurité.
De fait, la pénurie en compétences ne s’est pas réduite, constatent 95% des 489 professionnels à l’enquête pour obtenir leur point de vue sur l’état actuel du secteur et sur les domaines spécifiques nécessitant le plus d’aide. 44 % d’entre eux pensent même que l’écart s’est encore creusé..
Au sein des organisations, des postes restent vacants des mois durant faute de candidats spécialisés -pour 38 % des entreprises concernées. Par ailleurs, la charge de travail des équipes en place augmente (62 %) et l’épuisement au travail ou burn-out gagne du terrain (38 %), selon le rapport.
Mieux rémunérer…
Pour les auteurs de l’étude, on bute sur la question de la rémunération -ni juste, ni concurrentielle. «Le fait de ne pas offrir de salaire compétitif est le principal facteur (38 %) contribuant à la pénurie de cyber-compétences des organisations, car il est difficile de recruter et d’embaucher les professionnels de la cybersécurité dont les organisations ont besoin.»
Plus des trois quarts (76 %) des organisations admettent qu’il est difficile de recruter et d’embaucher du personnel en cybersécurité. Près d’un cinquième (18 %) déclarent que c’est extrêmement difficile. Se voir offrir une rémunération plus élevée est la principale raison (33 %) des CISO qui quittent une organisation pour une autre.
Et former !
Les salaires, mais pas seulement. La majorité des personnes interrogées pensent que davantage d’investissements dans la formation pourraient avoir un impact considérable. «Quand on leur a demandé quelles mesures les organisations pourraient prendre pour remédier à la pénurie de compétences en cybersécurité, la réponse la plus importante (39 %) a été une augmentation de la formation en cybersécurité afin que les candidats puissent être correctement formés pour leurs rôles.»
Pour maintenir et faire progresser leurs compétences, de nombreux professionnels de la cybersécurité cherchent à réaliser au moins 40 heures de formation chaque année. Près d’un quart (21 %) des personnes interrogées n’ont pas suivi 40 heures de formation par an. La principale raison citée était que leur employeur ne paie pas 40 heures de formation par an et… qu’ils (48 %) ne peuvent pas se le permettre par eux-mêmes !