Carte blanche
La pénurie de talent menace la cyber-sécurité
Tout roule pour vous? Du moins sauf imprévu pour lequel vous ne possédez ni la connaissance ni la compétence. La méconnaissance peut s’avérer très coûteuse en matière de sécurité. La carence d’experts menace notre sécurité à tous, selon Martijn Van Lom, directeur de Kaspersky Lab Benelux.
“Nos ordinateurs sont verrouillés. Nous devons donc à présent faire en sorte que les clients utilisent nos services gratuitement.” Ou bien: “Notre connexion internet est saturée par une attaque DDoS. Nos employés ne peuvent donc momentanément pas travailler.” Ou encore: “Nous subissons des dommages suite à une fraude numérique.” Ce sont là des dialogues internes d’événements réalistes, même récents, où la sécurité ICT de l’entreprise/organisation n’a pas été à la hauteur des cyber-attaques lancées.
Un simple rançongiciel ou une attaque DDoS
Or il ne s’agit souvent même pas d’attaques sophistiquées de longue haleine exécutées par des pirates expérimentés et soutenus financièrement et techniquement par l’un ou l’autre pays. C’est ainsi que les transports publics de San Francisco ont récemment pâti d’un incident de sécurité ‘ordinaire’ sous la forme d’un ransomware (rançongiciel) qui avait abouti ses leurs systèmes internes. Cet organisme possède pourtant et évidemment des experts en sécurité, qui font de leur mieux pour lui venir en aide.
Il n’empêche que prévenir est et reste toujours mieux que guérir. Certains incidents de sécurité ne peuvent évidemment pas être évités à cent pour cent. Cela demeure en effet une course sans fin, qui est attisée par le raffinement technique des moyens d’agression et par la capacité DDoS croissante des appareils connectés à l’internet des choses (Internet of Things ou IoT). N’oublions pas non plus le danger de la disponibilité publique de ce raffinement et de cette capacité croissante.
Le fondement de la cyber-sécurité
Avec de bons préparatifs, il y a pourtant moyen de faire quelque chose, à savoir limiter la casse possible en réduisant l’impact des incidents de sécurité. De quoi a-t-on donc besoin pour de bons préparatifs? Un acteur commercial louera sans aucun doute ses produits ou services, mais il y a encore un autre élément important. Un élément nettement plus fondamental et qui touche tant les clients de la sécurité ICT que les fournisseurs de celle-ci.
Pour de bons préparatifs, il faut simplement une bonne connaissance pour mettre en place une solide défense et une restauration rapide. La connaissance, mais aussi l’expertise. Le hic, c’est que ce n’est pas une mince affaire que d’acquérir l’une et l’autre. L’apprentissage de la connaissance et le développement de l’expertise, c’est en effet tout à la fois prévoir, investir, former et évidemment aussi rester dans le coup.
On demande top-talent
Notre CEO Eugene Kaspersky a plus tôt cette année déjà lancé publiquement un appel pour davantage d’experts en sécurité. Son appel concerne l’ensemble du monde de la cyber-sécurité. Car nous avons aujourd’hui, et plus encore demain, nettement plus de choses à protéger. Plus encore qu’avant. Outre les ho si importants bits, il y a également les atomes journaliers des appareils physiques de plus en plus connectés. La sécurité dès le stade de la conception en est malheureusement ici encore le parent pauvre.
Voyez la croissance que les systèmes professionnels industriels et l’internet des choses connaissent à présent. Dans le cadre de cette accélération, l’on voit se manifester des entreprises qui précédemment n’avaient été confrontées à la sécurité ICT et qui aujourd’hui doivent soudainement y réfléchir. L’on ne retrouve malheureusement pas cette croissance dans les formations.
Les entreprises qui prennent déjà la sécurité ICT au sérieux, éprouvent les plus grandes difficultés à recruter des experts. Cela est dû aussi au fait que la plupart des experts sont indépendants et peuvent demander un prix élevé. Les entreprises conscientes de l’importance de la sécurité sont donc quotidiennement occupées à recruter, une activité nécessaire, mais qui grève leur budget.
Demande, offre et préparatifs
La cyber-sécurité est donc un marché de l’emploi en croissance, où la pénurie progresse aussi. Rien d’étonnant donc que la firme de consultance Frost & Sullivan prévoit qu’il y aura d’ici 2020 une carence de pas moins d’1,5 million d’experts et ce, malgré les efforts des institutions d’enseignement dans le monde entier. Qui donc ressentira-t-il surtout ce manque de connaissance et d’expertise? Les départements IT des entreprises traditionnelles, qui ne pourront s’aligner que dans une certaine mesure dans la course au recrutement du talent sécuritaire.
C’est en effet une question de demande (beaucoup), d’offre (peu) et donc de prix (élevé). Aujourd’hui, des fournisseurs tels Kaspersky Lab luttent pour trouver des spécialistes qui combinent compétences sécuritaires approfondies et connaissance du domaine, quelle que soit l’industrie. Nous voulons en réalité éviter ce combat (ou l’endiguer) en effectuant de bons préparatifs. Voilà pourquoi nous misons à fond sur l’enseignement, la formation et le training.
Enseignement et lancement de défis
Les futurs experts en sécurité que sont les étudiants actuels n’ont évidemment pas la science infuse. Voilà pourquoi nous devons investir et entretenir des liens étroits avec les universités. En écrivant ‘nous’, je veux dire pas seulement Kaspersky Lab et pas non plus uniquement le secteur de la sécurité. La pénurie de spécialistes en cyber-sécurité dépasse le cadre de notre entreprise et même celui de notre secteur industriel: il touche toute notre société.
Il est donc nécessaire d’informer les étudiants sur la sécurité ICT et de les stimuler à choisir cette orientation. Car la réduction de la pénurie doit venir à coup sûr des formations. Il n’y a cependant que peu d’enthousiasme en ce moment. Il convient donc de commencer au plus tôt: avant même que les enfants entament leurs études. Mettez-les au défi, comme le fait le service de renseignements néerlandais AIVD avec son jeu en ligne. Rendez la sécurité agréable et intéressante.
Du labeur certes, mais bien nécessaire
Voilà comment nous allons nous tous préparer la nouvelle génération d’informaticiens et d’experts en cyber-sécurité, afin de nous assurer un avenir plus sûr. C’est du labeur certes, mais c’est bien nécessaire car le manque d’experts est en soi une forme d’insécurité capable de saper sérieusement notre cyber-sécurité à tous. Car la connaissance, c’est le pouvoir. Développons donc cette connaissance et cette expertise, afin que la ‘cybersecurity’ mène à la ‘cybersafety’.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici