La communauté de la sécurité évolue, grandit et apprend les unes des autres en permanence pour mieux positionner le monde contre les cybermenaces. Dans le dernier article de notre série de blogs Voice of the Community, Natalia Godyla, Product Marketing Manager chez Microsoft Security, s’entretient avec Heath Adams, PDG de TCM Security, sur le mentorat, l’embauche de nouveaux talents en sécurité, les certifications, la formation continue, l’avenir de la formation en cybersécurité et bien plus encore.

Natalia : Que recommandez-vous aux responsables de la sécurité qui s’inquiètent de la pénurie de talents ?

Heath : Il doit y avoir plus d’ouverture et s’éloigner du contrôle d’accès. Dans cette industrie, il y a beaucoup de « j’ai suivi ce chemin, donc vous devez suivre ce chemin ». Ou « J’ai fait ces certifications, donc vous devez faire ces certifications ». Tout le monde veut ce candidat parfait, quelqu’un qui a 10 ans d’expérience, même quand ils n’en ont pas nécessairement besoin. Nous devons pouvoir recruter quelqu’un de plus jeune que nous pouvons aider à former. Ou obtenez quelqu’un avec une table rase.

En tant que gestionnaire, soyez ouvert à plus que ce qui est dans la description de poste des ressources humaines. Et soyez ouvert à de nouvelles personnes d’horizons différents. Les gens viennent de tous les horizons et de tous les groupes d’âge. Donc, si vous mettez ces préjugés de côté et ne considérez que la personne qui est devant vous, cela vous aidera à combler la pénurie d’emplois et à combler le manque de talents.

Natalia : Et comment la pandémie et le passage au travail hybride ont-ils modifié les compétences en cybersécurité ?

Heath : Je pense que c’était bien. Dans notre domaine, la possibilité de travailler à distance a toujours été présente. Mais la pandémie a changé cela, de sorte que de plus en plus d’entreprises commencent à s’en rendre compte. J’ai travaillé comme testeur d’intrusion vers lequel j’ai dû déménager, même si je travaillais à l’extérieur de la maison 95 % du temps. Aujourd’hui, de plus en plus d’entreprises ouvrent les yeux sur des talents qui ne sont pas locaux. Vous n’avez plus besoin de chercher dans les grands marchés ; vous pouvez regarder quelqu’un à travers le pays étudier la cybersécurité et il peut être un atout pour votre équipe.

Je diffusais beaucoup sur Twitch pendant la fermeture et j’ai remarqué que nos flux étaient beaucoup plus importants qu’avant. Nous avions plus de gens qui regardaient, plus de gens intéressés. Il y a beaucoup de gens qui ont profité de la fermeture pour dire : « Hé, c’est le moment de me concentrer. Je veux une nouvelle carrière. Il y a des emplois bien rémunérés et il y a du travail à distance. Et comme je l’ai mentionné, vous n’avez pas besoin d’une formation ou d’un diplôme spécifique pour entrer dans ce domaine. Les gens peuvent provenir de tous les horizons. Je pense que la pandémie a contribué à faire la lumière là-dessus.

Natalia : Vous êtes connue sous le nom de The Cyber ​​Mentor™. Comment le mentorat a-t-il influencé votre carrière?

Heath : Cela me permet de rester au top de ma forme. Je dois être capable de donner des directions aux gens et je ne veux pas donner de mauvaises informations, donc je m’assure de rester à jour sur ce que sont les changements de l’industrie, où vont les emplois et comment passer correctement les entretiens, tout qui semblent changer d’année en année. . Cela m’aide à rester en contact avec la prochaine génération qui arrive également dans le domaine de la sécurité.

Natalia : Avez-vous vos propres mentors qui vous aident à progresser dans votre carrière ?

Heath : J’ai inventé ce que j’appelle le « mentorat communautaire ». J’ai une communauté Discord et nous l’utilisons pour encourager d’autres personnes à donner en retour. Vous voulez pouvoir aider les gens quand ils en ont besoin ou obtenir de l’aide quand vous en avez besoin tout en apprenant les uns des autres. Quand il est temps de réseauter ou d’avoir besoin d’un emploi, cela fait beaucoup. Pour moi, il s’agit plus d’être là où il y a des groupes de personnes partageant les mêmes idées. J’ai beaucoup d’amis qui possèdent des entreprises de tests d’intrusion et nous nous réunirons, déjeunerons, parlerons de stratégies. Que faites-vous? Que suis-je en train de faire? C’est le genre de mentorat que nous avons les uns avec les autres; juste s’assurer que nous nous contrôlons mutuellement, en pensant à de nouvelles choses.

Natalia : Quelles sont les principales difficultés rencontrées par les étudiants en début de carrière qui essaient de développer leurs compétences ? Et comment les dirigeants peuvent-ils relever ces défis ?

Heath : Pour quelqu’un qui cherche à décrocher un rôle, il y a quelques points à retenir. La première consiste à vous assurer que vous rampez avant de marcher, marchez avant de courir. Je vais utiliser le piratage comme exemple. Beaucoup de gens sont enthousiastes à propos du piratage et pensent que cela sonne bien. « Pouvez-vous être payé pour pirater quelque chose ? Je veux le faire ! » Et ils essaient de se lancer sans créer des ensembles de compétences de base, apprendre des pièces d’ordinateur ou apprendre à créer des réseaux informatiques ou à résoudre des problèmes de base. Ce que je dis aux gens, c’est de casser et de réparer des ordinateurs. Comprendre le matériel de base, les les réseaux informatiques, ce que sont les adresses IP, ce qu’est un sous-réseau. Comprendre un peu de code, comme Python. Vous n’avez pas besoin d’une formation en informatique, mais avoir ces compétences de base fera beaucoup.

Si vous ne mettez pas les fondations sous une maison, elle s’effondrera. Donc, vous devez penser à votre carrière de la même manière. Vous devez vous assurer de construire une base. Les gens ne se rendent pas compte de la quantité d’efforts qu’il faut pour monter sur le terrain. Faites votre diligence raisonnable à l’avance.

Il y a aussi beaucoup de syndrome de l’imposteur dans la cybersécurité. Je dis aux gens de ne pas s’inquiéter pour les autres, surtout sur les réseaux sociaux. On dit que la comparaison est voleuse de joie, et je le crois vraiment. Vous devez vous assurer que vous courez votre propre course. Même si vous courez le même kilomètre que quelqu’un d’autre, qu’il le termine en 5 minutes et que vous le terminez en 10 ; finir toujours le même mile. L’important c’est que tu y sois arrivé. Tant que vous essayez d’être meilleur que vous ne l’étiez hier, vous irez beaucoup plus loin que vous ne le pensez.

Enfin, la cybersécurité est un domaine en constante évolution. Pour quelqu’un qui est complaisant – qui veut obtenir son diplôme, obtenir un emploi, puis être prêt – la cybersécurité n’est pas la bonne solution. La cybersécurité s’adresse à quelqu’un qui s’intéresse à l’apprentissage constant car il y a toujours de nouvelles vulnérabilités. Il n’y avait que la vulnérabilité Log4J qui inquiétait tout le monde. J’ai eu une réunion avec un client aujourd’hui, et si je ne suis pas préparé, je le laisserai tomber. Je déçois aussi leur sécurité. J’ai passé le week-end à étudier parce qu’il le fallait. C’est l’entreprise dans laquelle nous sommes engagés.

Il faut aussi suivre le rythme de l’employeur, être capable de former les gens et de les tenir à jour. TCM Security a une base là où nous voulons que nos employés soient et nous les encourageons donc à acquérir des connaissances là où ils sont le plus intéressés. J’ai été envoyé dans une formation qui ne m’intéressait pas et je voulais m’arracher les cheveux. En tant que manager, je demande : « Que veux-tu apprendre ? » Lorsque j’envoie un employé à une formation en cybersécurité qui l’intéresse, il retiendra beaucoup mieux cette information. Ils peuvent ensuite nous rapporter ces informations et nous pouvons les utiliser dans des scénarios réels.

Natalia : Comment les responsables de la sécurité peuvent-ils mieux recruter des professionnels de la sécurité dans leurs équipes ? A quoi doivent-ils faire attention ? Par exemple, quelle est l’importance des certifications ?

Heath : Pour un poste débutant, les certifications sont importantes. Leur importance diminue une fois qu’ils entrent sur le terrain. Mais je suis un partisan d’eux; ils aident à démontrer certaines connaissances, ainsi qu’à avoir un blog, à assister à une conférence, à construire un laboratoire à domicile, à prendre la parole lors d’une conférence, à parler dans un groupe communautaire local, tout ce qui dit : « Je suis passionné par la sécurité ».

J’ai vu des rôles d’entrée de gamme où les enquêteurs vous demandent de programmer quelque chose ou de réparer un code cassé, juste pour vous assurer que vous comprenez logiquement ce qui se passe. Vous n’avez pas besoin d’être développeur ou de savoir coder, mais vous devez être capable de comprendre ce qui se trouve devant vous. Avoir des difficultés de codage pendant le processus d’embauche peut être utile, mais cela devrait être un livre ouvert. Pour un professionnel de la sécurité, l’utilisation de la recherche représente 90 % de notre travail, honnêtement. Si vous limitez quelqu’un à la recherche en ligne, vous créez de fausses attentes.

Je regarde à nouveau les vidéos et relis les blogs tout le temps, car il y a tellement de commandes différentes et il n’y a aucun moyen de toutes les mémoriser. Mais vous devez comprendre les concepts. Si vous comprenez l’outil dont ils pourraient avoir besoin pour exécuter ou le concept de celui-ci, vous pouvez le rechercher, trouver l’outil et l’exécuter. C’est plus important.

Natalia : Nous avons tous lu les statistiques sur l’épuisement de la sécurité. Que recommandez-vous aux dirigeants qui souhaitent mieux conserver leur talent ?

Heath : Vous devez soutenir la santé mentale. Assurez-vous qu’il y a suffisamment de congés payés (PTO) et encouragez les employés à les utiliser. Assurez-vous également que vos employés peuvent faire une pause en plus de la prise de force. S’ils sont malades, ils ne doivent pas avoir l’impression de laisser tomber les autres. C’est pourquoi nous avons des horaires flexibles; nous fonctionnons sur une semaine de travail de 32 heures. Nous essayons de redonner plus de temps aux gens et d’avoir un équilibre travail-vie personnelle. Nous payons également la formation afin que les gens puissent se concentrer sur les sujets qui les intéressent. Nous veillons à investir dans nos employés. Résumer et recycler coûte beaucoup plus cher. Je préfère investir dans un employé et maintenir sa santé mentale à un niveau élevé et m’assurer de lui fournir tous les outils et la formation dont il a besoin pour réussir.

Natalia : Quelles tendances avez-vous constatées en matière de compétences en cybersécurité ? Selon vous, que va-t-il se passer ensuite en termes de formation, de recrutement et de fidélisation des professionnels de la sécurité ?

Heath : Il y a plus de gens intéressés par le domaine, et c’est super. Nous commençons à voir beaucoup plus de fournisseurs de formation et d’options de formation. Lorsque j’ai commencé, je lisais principalement des articles de blog et il y avait peut-être un ou deux prestataires de formation. Il y en a maintenant 10 ou 15.

Des informations erronées peuvent être disponibles ou des informations obsolètes. Si vous recherchez en ligne des sociétés de certification, ou même si vous consultez une publication en ligne datant d’il y a un an, ces informations peuvent être obsolètes. Donc, encore une fois, cela revient à la diligence raisonnable et assurez-vous que vous faites vos recherches, et pas seulement en vous fiant à une source. Si je devais chercher des certifications pour entrer dans ce domaine, je regarderais 20 ou 30 ressources différentes, j’obtiendrais un consensus sur ce qui a les sondages les plus élevés, puis je ferais mes recherches sur ces organisations. C’est une excellente pratique des compétences professionnelles pour rechercher et vous assurer que vous comprenez où vous devez aller.

En savoir plus

En savoir plus
© securitymagazine.com

Pour plus d’informations sur les solutions de sécurité Microsoft, visitez notre site Web. Sur le même sujet : Les modèles Apple Watch Series 7 ont jusqu’à 60 $ de réduction sur Amazon | Impliquer. Ajoutez le blog de sécurité pour rester à jour sur notre couverture d’experts en sécurité. Suivez-nous également sur @MSFTSecurity pour les dernières nouvelles et mises à jour sur la cybersécurité.

Clause de non-responsabilité : les opinions exprimées dans ce document sont celles de l’auteur uniquement et ne représentent pas les vues de Microsoft Corporation.

Recherches populaires