Par Steve Wainwright, DG EMEA chez Skillsoft
Le Global Risks Report 2019 du Forum économique mondial a classé le risque de fraude et de vol de données massif au troisième rang des risques auxquels l'économie mondiale doit faire face, suivi de près par les cyberattaques. La place accordée aux risques cybernétiques dans ce rapport n’est pas une surprise : les cyberattaques sont de plus en plus fréquentes et perturbatrices, et plusieurs fuites de données très médiatisées ont sonné l’alerte sur la vulnérabilité des systèmes critiques, les perturbations et les dégâts qui peuvent en découler.
Au cours des dernières années, la nature des menaces a également évolué, passant d'individus isolés à des organisations criminelles organisées et l’émergence de pirates informatiques soutenus par des Etats. Ces groupes ciblent des secteurs verticaux dans le but de créer des dommages, de voler de l'argent et de saboter les infrastructures. Plusieurs États-nations voyous parrainent l'espionnage économique à une échelle industrielle. Comme les attaquants deviennent de plus en plus persistants, les cyberattaques à grande échelle deviennent la norme. Des organisations comme l'Agence européenne de la sécurité aérienne signalent que les systèmes aéronautiques subissent en moyenne 1 000 attaques par mois. Saint-Gobain a ainsi perdu aux alentours de 400 millions d’euros suite à l’attaque NotPetya en 2017.
En plus de porter gravement atteinte à la réputation, ces attaques ont un impact commercial en hausse et qui devrait s'accélérer, en particulier avec la généralisation de l'adoption de l'Internet des objets (IoT) et du cloud.
Des compétences de plus en plus recherchées
Pour prospérer et survivre dans le monde de plus en plus connecté d'aujourd'hui, les organisations des secteurs public et privé se digitalisent pour accélérer dans leur innovation. Mais cela les rend également plus vulnérables aux cyberattaques. Les professionnels de la cybersécurité étant rares malgré des besoins croissants, ils sont soumis à d'énormes pressions pour assurer la sécurité de leur entreprise dans un système qui offre de plus en plus de points de contact aux pirates. Les organisations doivent engager une réflexion holistique pour aborder l'impact de la transformation digitale sur la cybersécurité.
Or les choses ne sont pas en voie d’amélioration : les besoins augmentent plus rapidement que le nombre de personnes formées à la cybersécurité. Il devrait manquer 350 000 professionnels de la cybersécurité en Europe en 2022. Les causes identifiées sont un manque de talents, de réelle volonté d’embaucher dans ce secteur et de facteurs dissuadant d’investir dans la formation.
Former les néophytes à la cybersécurité
Dans un contexte de manque de compétences en sécurité informatique et de concurrence accrue pour attirer les rares talents, le recrutement n’est pas la réponse à ce problème. Pour combler le déficit de compétences, les entreprises doivent élargir leur vivier de talents par d'autres moyens, comme la formation interne… et les professionnels de l’informatique sont, heureusement, très demandeurs de certifications dans le domaine de la cybersécurité. La disponibilité d'un plan d'évolution de carrière clair pour ceux qui assument des fonctions liées à la cybersécurité contribuera à inciter le personnel informatique existant à rejoindre les rangs de l’équipe de cybersécurité.
Les responsables de la sécurité de l'information (RSSI) les plus prévoyants investissent dans le développement des compétences du personnel et soutiennent le développement professionnel par la formation afin de disposer de l'expertise nécessaire pour naviguer dans un environnement menaçant. Mais pour réellement étendre leur vivier de compétences en cybersécurité, les entreprises doivent élargir l'éventail des candidats potentiels à ceux qui n'ont pas de formation technique, mais qui ont les compétences humaines nécessaires pour travailler de façon collaborative et apporter un regard innovant sur les problèmes existants.
Reconnaître l’importance des soft skills
Les organisations doivent élargir leurs recherches de talents, et cela implique d'aller au-delà des équipes déjà en poste. Les liens avec les écoles et les établissements d'enseignement supérieur contribueront à constituer une base de recrutement et à susciter l'intérêt dans ce domaine.
Il est temps pour les entreprises d’activement diversifier leur personnel et d'évaluer les caractéristiques requises pour la cybersécurité - réflexion latérale, résolution de problèmes complexes, compréhension de la gestion des risques - plutôt que de se limiter aux certifications techniques. Cela exige une vision des talents en cybersécurité qui dépasse l’approche traditionnelle des RH. Cette approche basée sur les compétences humaines permet aussi de considérer comme candidats potentiels aux formations dans ce domaine des collaborateurs non informaticiens. Cela étendra sensiblement le vivier de compétences.
Les organisations qui n'investissent pas dans la formation de personnes n'ayant pas déjà une formation technique s’engagent dans une voie problématique, qui exposera l'entreprise à un risque à court terme du fait de la multiplication et la sophistication rapide des menaces.
La cybersécurité doit être un enjeu pour l’ensemble du personnel
L'un des aspects clés d'une approche plus globale de la formation est qu’il faut y sensibiliser les collaborateurs. Cela doit être une priorité absolue, car même une formation basique peut protéger de la plupart des attaques. Le rapport de 2017 de Verizon sur les atteintes à la protection des données montre ainsi que 81 % des atteintes à la protection des données sont dues à des mots de passe volés ou faibles.
Il est indispensable d'organiser régulièrement de courtes sessions de formation pour l'ensemble du personnel sur des sujets comme l'hameçonnage, afin que les collaborateurs sachent reconnaître une menace et ce qu’ils doivent faire le cas échéant. La formation doit être pertinente et régulièrement réitérée, afin que chacun comprenne comment les menaces contemporaines fonctionnent et ses responsabilités en ce qui concerne la sécurité des données de l'entreprise et des clients. Ce type de formation peut également faire émerger des candidats potentiels à la cybersécurité dans des départements inattendus.
Dans un contexte de pénurie persistante de compétences en matière de cybersécurité, les entreprises doivent porter un regard neuf sur les personnes et les ressources afin de maximiser leur résistance et leur résilience face aux attaques. Qu'il s'agisse d'élargir leur vision de qui peut devenir spécialiste de la cybersécurité, de découvrir de nouveaux réservoirs de candidats jusqu'alors inexploités ou d'étendre la sensibilisation et la formation à la cybersécurité à l'ensemble des équipes, plus une approche globale peut aider les organisations à s'adapter et à garantir que le nouveau lieu de travail digital reste sécurisé.