Pendant des années, nous avons entendu la même histoire : il y a une pénurie mondiale de talents en cybersécurité. Mais si nous avions abordé le problème sous le mauvais angle ? Le vrai problème n'est pas seulement une question de chiffres, c'est une question d'orientation. Nous n'avons pas seulement un problème de recrutement. Nous avons un problème de stratégie.

Pour citer Peter Drucker : « Le management, c'est de bien faire les choses ; le leadership, c'est de faire les bonnes choses. » Pendant trop longtemps, le débat sur la cybersécurité s'est concentré sur le fait de bien faire les choses : pourvoir des postes, déployer des outils, suivre des cadres de référence. Mais le véritable défi aujourd'hui est de faire les bonnes choses : définir des priorités stratégiques, intégrer la sécurité dans l'entreprise et diriger dans un contexte d'incertitude.

Oui, les compétences techniques sont rares, mais la lacune la plus pressante se situe ailleurs : au niveau du leadership. Les compétences stratégiques telles que la gouvernance, la gestion des risques et la planification à long terme font défaut au niveau même où elles sont le plus importantes. Notre dernière étude révèle que si 76 % des organisations reconnaissent un déficit de compétences, la véritable pénurie se situe aux niveaux intermédiaire et supérieur. Près de la moitié (46 %) signalent un manque de personnel pour des postes de direction qui exigent une vision stratégique. Ce n'est pas un problème de vivier de talents. C'est un problème de leadership. 

Plus de technologie exige plus d'humanité (augmentée)

La montée en puissance de l'intelligence artificielle dans la cybersécurité ne rend pas les experts humains superflus. Au contraire, elle change fondamentalement leur rôle. Alors que l'IA prend en charge le gros du travail d'analyse des données et de détection des menaces, l'attention de l’Homme doit passer de l'opérationnel au stratégique. Les compétences qui comptent le plus désormais sont la résolution de problèmes complexes, la pensée créative et la capacité à gérer des équipes homme-machine sophistiquées.

La technologie est un multiplicateur de force, mais elle ne remplace pas un jugement sûr. Une IA peut détecter une anomalie, mais il faut un expert humain pour comprendre le contexte commercial, évaluer l'appétence au risque et prendre une décision stratégique. Les organisations qui se contentent d'intégrer la technologie sans investir dans l'expertise humaine pour la gérer passent à côté de l'essentiel.

Elles automatisent des tâches, mais ne renforcent pas leur résilience. Le véritable défi n'est pas seulement de trouver des personnes capables d'utiliser les outils, mais de former des leaders capables de construire une culture de la sécurité qui soit proactive, adaptable et alignée sur les objectifs plus larges de l'entreprise. 

De la gestion de crise à la préparation de l'avenir

Les conséquences de ce vide stratégique deviennent évidentes. Notre étude montre que 85 % des organisations ressentent un impact négatif tangible du déficit de compétences. Les deux tiers comblent cette lacune par des solutions à court terme. Plus de la moitié (57 %) ont retardé ou mis de côté des initiatives de sécurité essentielles.

C'est un jeu dangereux. Retarder une mise à jour de sécurité ou appliquer un correctif temporaire à un système n'augmente pas seulement la vulnérabilité ; cela freine l'innovation et entrave la croissance. Cela transforme la cybersécurité en une fonction réactive de « pompier », alors qu'elle doit être un catalyseur proactif et stratégique.

Pour bâtir une véritable résilience, nous avons besoin d'un changement de mentalité. Cela signifie abandonner la vision cloisonnée et réactive de la sécurité et l'intégrer dans l'ADN de l'entreprise. Cela signifie donner la priorité au développement du leadership au même titre que la formation technique. Et cela signifie choisir des partenaires qui offrent non seulement des outils, mais aussi une expertise stratégique.

La crise des compétences n'a pas disparu, elle a évolué. Les gagnants de cette nouvelle phase seront ceux qui reconnaîtront que la résilience se construit sur la stratégie, et pas seulement sur les effectifs.