Pour les entreprises, une approche hybride peut se révéler stratégique. Il s’agit de rechercher en interne des employés ayant une expérience solide de l’entreprise et intéressés par les enjeux de cybersécurité, et en externe, de s’appuyer sur des experts intégrés à l’organisation. Cette approche permet un enrichissement global de la culture cybersécurité de l’entreprise. Comment préciser cette approche ? A quoi ressembleront les profils dans le domaine, dans les années à venir ?
Promouvoir une culture de la sécurité
Entretenir une culture qui reconnaît la nécessité pour chacun de jouer un rôle dans la protection cyber de l’entreprise est un principe clé. C’est par cette culture d’entreprise que les pratiques sécuritaires peuvent devenir de l’ordre du réflexe. Une compréhension approfondie de l'entreprise est tout aussi importante que l'investissement dans une formation à la cybersécurité de haute qualité.La culture de la sécurité s’affirme également par la promotion de la diversité dans toutes les équipes de cybersécurité, incluant des personnes de diverses fonctions. Un processus de recrutement priorisant une embauche inclusive et diversifiée facilite cette démarche. Cette diversité garantit un dialogue accessible à propos des enjeux de cybersécurité, contribue à réduire les risques pour l'entreprise et à trouver un équilibre avec la nécessité d'agir rapidement et de répondre aux demandes.
Cette agilité est essentielle à l'instauration d'une culture de la sécurité, une culture responsable dans laquelle chacune et chacun se sent libre de poser des questions en matière de cybersécurité.
La future force de frappe de la cybersécurité
De nombreuses idées reçues perdurent, au sujet de profils cybersécurité. Si l’idée qu’il faille détenir un diplôme ultra-spécialisé est bien répandue, il est nécessaire de nuancer le tableau : beaucoup d’entreprises recherchent des talents nouveaux en la matière.Bien évidemment, certaines qualités font l’objet d’une attention particulière lors de la sélection des candidats. Une formation polyvalente pourra être valorisée, démontrant l’intérêt du candidat pour les applications de la cybersécurité à des domaines concrets. La participation à des programmes de formation est valorisée. C’est en effet une façon pour le candidat de montrer qu’il se tient au courant des évolutions du secteur, souhaitant rester expert en la matière.
La prochaine génération de RSSI ne sera peut-être pas composée que d’ingénieurs : il est essentiel qu’elle détienne et partage des connaissances en matière de gestion des risques financier. Il est souhaitable que le système éducatif commencera à intégrer davantage de modules sur le développement de l’activité et la cybersécurité dans ses programmes d'ingénierie, de sorte que les RSSI intègrent le marché du travail avec une connaissance de base en matière de business. D'autres programmes devraient également intégrer davantage de sensibilisation à la cybersécurité dans les cursus universitaires, notamment au sein des écoles de commerce. Souvent, un RSSI est chargé de traduire un problème technique dans un langage que les dirigeants de l'entreprise peuvent comprendre. Dans chaque entreprise, ce niveau de sensibilisation peut varier considérablement et créer des difficultés importantes dans la prise en compte de ces menaces.La cybersécurité n’a jamais été aussi importante. Dans tous les secteurs, il est de la responsabilité de chacun de s'informer sur la menace et d'internaliser les meilleures pratiques. Alors que les menaces continuent d'augmenter, il est essentiel que les entreprises prennent en charge leur sécurité et mettent en œuvre certaines pratiques pour renforcer l'entreprise et fédérer le personnel autour de cette culture.
Par Yves Gautier, Directeur Informatique chez Lexmark