La cybersécurité face à une pénurie de talents
Notre meilleure arme contre la cybercriminalité : la formation.
Parmi les grands gagnants de la pandémie qui sévit depuis l’an dernier, l’Internet a atteint en 2020 des niveaux sans précédent en termes d’activités et de transactions. Mais, comme l’on pouvait s’y attendre, la cybercriminalité et le nombre des attaques malveillantes sont allés de pair. Pour le Secrétaire général d’INTERPOL, Jürgen Stock, « les cybermalfaiteurs, qui exploitent la peur et l’incertitude liées à l’instabilité de la situation sociale et économique engendrée par la COVID-19, préparent et multiplient leurs attaques à un rythme très préoccupant ».
À l’heure où les sous-effectifs dans le domaine de la cybersécurité sont estimés cette année atteindre jusqu’à 3,5 millions d’emplois, la nouvelle est inquiétante. La bataille est-elle perdue pour autant ? La meilleure ligne de défense consiste à parfaire les compétences des professionnels déjà actifs dans le secteur et à y attirer de nouvelles vocations, mais les programmes et les projets sont insuffisants et menés au coup par coup.
Nous nous sommes entretenus avec Edward Humphreys, spécialiste de renommée mondiale en matière de sécurité informatique, pour aborder la question de la pénurie de compétences en cybersécurité et les implications potentielles pour les entreprises et la société. Membre de plusieurs comités gérés conjointement par l’ISO et la Commission électrotechnique internationale (IEC), notamment de l’ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée, qui compte plus de 200 normes publiées et 77 autres en cours d’élaboration, M. Humphreys, grand expert du domaine, est souvent désigné comme le « père » de la famille de normes ISO/IEC 27001 relative aux systèmes de management de la sécurité de l’information.
Edward Humphreys
Animateur du groupe de travail ISO/IEC JTC 1/SC 27/WG 1, Systèmes de management de la sécurité de l’information
La cybersécurité est une bataille constante, avec des demandes en effectifs qui ne cessent de croître et une offre qui ne suit pas. Quelle est la situation à l’heure actuelle ?
Il est utile d’évoquer ici un traité de stratégie militaire qui date de la nuit des temps, et de citer un passage souvent repris de nos jours dans divers contextes d’enseignement et de formation pour les professionnels dans de nombreux domaines, notamment pour le management, les négociations commerciales et, bien sûr, la cybersécurité :
Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait. Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ?
Plus nous connaissons avec précision nos forces et nos faiblesses, ainsi que celles de nos ennemis, mieux nous sommes préparés. Il nous faut nous renseigner sur l’identité de l’ennemi, savoir pourquoi, quand, comment et où il risque de lancer l’attaque et ce qu’il veut en retirer. Si nous connaissons notre ennemi aussi bien que nous nous connaissons nous-mêmes, nous avons de grandes chances de gagner.
Des effectifs en informatique composés de professionnels compétents et d’employés bien informés nous mettent en position de force. Cela implique d’investir du temps et de l’argent dans l’enseignement, la formation et la sensibilisation à la cybersécurité. Les organismes dont la stratégie de cybersécurité est gagnante sont ceux qui disposent d’un processus efficace de management des risques et d’une main-d’œuvre qualifiée dans le domaine de la sécurité TI. La conjugaison de ces deux éléments permet à un organisme d’évaluer ses forces et ses faiblesses pour mieux résister aux attaques.
La pénurie d’experts qualifiés dans ce domaine est importante au niveau mondial. Pourquoi ?
La technologie évolue sans cesse, il est donc difficile pour le personnel du secteur de rester en phase, et les connaissances spécialisées que cette évolution implique sont souvent longues à mettre en place. Selon l’Agence de l’Union européenne de la cybersécurité (ENISA), les fabricants et autres organismes utilisant des solutions de l’industrie 4.0 et de l’Internet des objets n’ont souvent pas le temps de former le personnel de manière adéquate que déjà des changements interviennent à nouveau, ce qui les expose à des risques. Qui plus est, les formations à disposition sont inadéquates et/ou coûteuses.
Ces dernières années, l’escalade des cyberattaques a poussé les organismes à recruter d’urgence des professionnels qualifiés, ce qui a eu pour effet d’assécher le marché des compétences disponibles. La prise de mesures a été rendue encore plus nécessaire et urgente en raison de la pandémie de COVID-19 et de l’augmentation spectaculaire des attaques réussies. Mais l’enseignement et la formation de spécialistes en cybersécurité ont été pris de vitesse dans la course pour mettre en place une main-d’œuvre qualifiée.
Les raisons de cette pénurie sont nombreuses et variées. En ce qui concerne l’enseignement formel (université, collège), les inscriptions aux filières de la cybersécurité ont augmenté régulièrement ces dix dernières années, mais le nombre de diplômés est encore loin de répondre à la demande du secteur. Il faut du temps pour former des professionnels très qualifiés, et il en faut aussi pour acquérir une expérience professionnelle pratique. En parallèle, l’investissement dans la formation à la cybersécurité a sérieusement pâti de la réduction des budgets consacrés aux dépenses qui ne sont pas directement liées à la production de bénéfices et de revenus.
Quelles répercussions pour notre avenir si rien n’est fait ?
La pénurie mondiale de cyber-personnel qualifié a un impact direct significatif sur les organismes et leur capacité à se protéger. Et tout cela finit par constituer une menace non négligeable pour le bien-être économique global des pays et, par extension, de la société.
La problématique s’articule à trois niveaux :
- Le besoin de professionnels qualifiés pour gérer, administrer et soutenir la sécurité et les opérations des organismes
- Le besoin de cyber-ingénieurs qualifiés pour concevoir des systèmes de sécurité et développer des logiciels et des outils sécurisés
- Le besoin d’une sensibilisation générale aux enjeux de la cybersécurité à tous les niveaux de l’organisation, afin que tout le monde ait une bonne connaissance des menaces et des risques, et des implications dans les attributions professionnelles de tout un chacun
La progression du recours à l’Internet et aux services en ligne, l’introduction de nouvelles technologies et l’évolution rapide du paysage numérique accentuent la nécessité d’une meilleure cybersécurité. La grave pénurie de professionnels compétents en cybersécurité freinera manifestement l’avancement de la mise en place d’une protection adéquate et efficace.
Si la pénurie mondiale de main-d’œuvre qualifiée en cybersécurité se poursuit, les organismes auront plus de mal à remporter la bataille. Les perspectives seront caractérisées par une exposition croissante aux cyberattaques entraînant des pertes financières plus lourdes, une plus grande perturbation des activités, l’interruption des services et des chaînes d’approvisionnement, les atteintes à la vie privée et à la sécurité des personnes, ainsi que de nombreuses autres répercussions.
Quelles sont les initiatives en cours pour tenter d’encourager les spécialistes à venir combler le déficit croissant de compétences ?
L’ENISA plaide en faveur d’une connaissance transversale de la sécurité des technologies informatiques (TI) et opérationnelles (TO), et d’un renforcement de l’offre de formation et d’enseignement. Elle met en avant le renforcement des capacités en tant qu’objectif clé de sa nouvelle stratégie et poursuit de nombreuses activités de sensibilisation auprès des consommateurs pour promouvoir un comportement en ligne plus sûr. Elle assure la promotion et l’analyse de l’enseignement de la cybersécurité afin de remédier à la pénurie de professionnels de la cybersécurité, qui pose un problème tant pour le développement économique que pour la sécurité nationale.
Un certain nombre de campagnes de sensibilisation aux carrières de la cybersécurité ont été menées dans des pays comme les États-Unis et le Royaume-Uni, mais la promotion de ces campagnes est effectuée au coup par coup et rien n’est harmonisé au niveau international.
Quelques pays ont mis en place des programmes pour aborder le problème, notamment en organisant des campagnes nationales de sensibilisation encourageant les universités, les collèges, les écoles et les organismes de formation à promouvoir l’inscription aux filières de la cybersécurité comme discipline d’étude. Au Canada et au Royaume-Uni, par exemple, l’enseignement de l’informatique commence à être introduit dans les écoles primaires dès l’âge de huit ans. Voilà qui est rassurant, car il faut former les futures générations d’informaticiens.
Vous travaillez actuellement sur une nouvelle norme relative à l’enseignement dans le secteur de la cybersécurité. Quelle aide cette norme entend-elle apporter ?
L’un de nos groupes de travail a commencé à élaborer un rapport technique sur l’enseignement et la formation dans le domaine de la cybersécurité. Ce document indiquera en quoi, pourquoi et comment l’enseignement et la formation dans ce domaine aideront à contribuer à améliorer la situation actuelle.
Ce nouveau rapport technique permettra de comprendre pourquoi l’enseignement et la formation dans le domaine de la cybersécurité sont importants et en quoi ils sont essentiels à la constitution d’une main-d’œuvre bien informée et compétente, capable de protéger les entreprises et la société. Il montrera également pourquoi l’enseignement de la cybersécurité doit devenir une priorité stratégique dans le développement du personnel au sein des organismes et des pouvoirs publics, dans tous les secteurs d’activité.
Ces orientations dresseront un inventaire de ce qui est à disposition en matière d’initiatives et de programmes nationaux, d’enseignement formel, de formation professionnelle, de normes et de lignes directrices. Le document pourra ainsi servir à identifier les domaines à améliorer et à développer. Il abordera également les domaines spécialisés de l’enseignement de la cybersécurité qui sont essentiels pour assurer une cyber-protection efficace.
À qui s’adresse le nouveau document et quand pouvons-nous espérer l’utiliser ?
Le document a vocation à être utile à toute personne impliquée dans la cybersécurité : utilisateurs, fournisseurs, certificateurs, décideurs et organismes de réglementation, enseignants, consommateurs, vendeurs et fabricants. La publication est attendue fin 2021 ou début 2022.
Que peuvent faire les organismes pour se protéger dans l’intervalle ?
Pour les organismes, l’une des mesures clés indispensables réside dans une parfaite compréhension des risques encourus et dans l’application d’un ensemble de contrôles de base pour tenter d’atténuer ces risques. ISO/IEC 27002, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information, fournit un ensemble de mesures découlant des meilleures pratiques du secteur. La norme répond au besoin des organismes en matière de renforcement de leur capacité à savoir se défendre grâce à une meilleure compréhension de leur propre contexte, comme je l’ai indiqué plus haut. Mieux ils comprennent les attaques auxquelles ils pourraient avoir à faire face et les faiblesses qui sont les leurs, mieux ils peuvent agir pour les minimiser. Les sages préceptes de L’Art de la guerre sont tout aussi applicables aujourd’hui qu’ils ne l’étaient à l’époque où Sun Tzu les a écrits.