Déficit de compétences en cybersécurité, mais qui s’en inquiète ?
La nécessité de défendre une surface de menace grandissante souligne le fossé grandissant des compétences en cybersécurité. Le point de vue de Stephen Cobb, Senior Security Researcher, ESET.
«Si l’on en croit l’ISC, il manquerait quelque trois millions de professionnels en cybersécurité. C’est énorme. Cet ordre de grandeur dépasse mes prévisions, reconnait Stephen Cobb, Senior Security Researcher, ESET. Il dépasse aussi mes propositions sur WeLiveSecurity.com en 2017… Définir et mesurer un déficit de compétences dans une profession qui a encore du mal à s’entendre sur des descriptions de travail standard est un défi !»
Dans le dernier rapport ISC, 63% des personnes interrogées ont déclaré que leur organisation «manque de personnel dédié à la cybersécurité». En outre, 60% ont déclaré que leur entreprise était exposée à «un risque modéré ou extrême de cyber-attaques en raison de cette pénurie». En termes de chiffres clés, le rapport suggère que le fossé en matière de cybersécurité se creuse, ce qui est particulièrement inquiétant lorsque vous réalisez que les efforts pour résoudre le problème remontent à au moins… dix ans !
«Ma propre observation, poursuit Stephen Cobb, est que les pays et les entreprises ont toujours été en deçà des efforts requis pour attirer suffisamment de personnes dans les métiers de la cybersécurité et s’assurer qu’ils possèdent les compétences requises. En outre, les estimations de ce qui constitue ‘suffisamment de personnes’ n’ont pas suivi le rythme du développement et du déploiement de la technologie.»
Vague après vague…
De manière générale, chaque nouvel appareil connecté à Internet augmente le nombre de voies d’attaque potentielles. Et lorsque ces dispositifs sont «nouveaux», par opposition aux technologies éprouvées, ils augmentent les compétences nécessaires pour les sécuriser. Selon Cisco, le nombre d’appareils connectés à Internet a atteint 8,7 milliards en 2012. Il y avait déjà un manque de compétences à ce moment-là. En 2018, le nombre d’appareils connectés avait presque triplé…
«Bien qu’une formule telle que ‘nombre de personnes cybersécurité par million d’appareils’ n’ait pas beaucoup de sens, si le nombre d’appareils triplait de nouveau au cours des sept prochaines années, la charge de travail totale ne diminuerait probablement pas -à moins d’une baisse soudaine du nombre de cybercriminels… En outre, analyse le chercheur d’ESET, ces appareils représentent des technologies nouvelles, vague après vague, des drones aux enceintes intelligentes, en passant par les voitures et bâtiments intelligents, les applications sans serveur, dans le cadre desquels de nouvelles vulnérabilités peuvent vraisemblablement être exploitées.»
Le nombre d’utilisateurs d’Internet est un indicateur différent de la charge de travail liée à la cybersécurité, en supposant que chaque utilisateur a la capacité d’agir de manière non sécurisée et que chaque employé exige un certain effort d’effort en matière de cybersécurité. En 2012, la population d’utilisateurs d’Internet était estimée à 2,4 milliards; à la mi-2018, on avait dépassé les 4 milliards.
Des lacunes, dans d’autres secteurs aussi…
«Ces chiffres contribuent tous à une surface d’attaque en expansion, plus de moyens de compromettre et d’abuser des systèmes et des données», enchaîne Stephen Cobb. Tel était sans aucun doute le consensus d’une salle pleine d’experts en sécurité de l’information lors d’une récente table ronde sur la cybersécurité organisée par le NASDAQ à laquelle je participais. A la question ‘Qu’est-ce qui vous empêche de dormir la nuit ?’, posée de façon anonyme via un outil de sondage anonyme, 45% des répondants ont pointé ‘une surface de menace en expansion’. Pour moi, c’était un choix logique car, en lien étroit avec le manque de compétences. On ne fait qu’accroitre la surface de risques !»
Bien que nous puissions tous en faire plus pour combler le déficit de compétences en cybersécurité, il est important de réaliser que ce n’est pas le seul déficit de compétences existant, estime encore Stephen Cobb. Pour commencer, il existe dans le vaste «fossé en matière de cyber-compétences». «Quand vous regardez au-delà des technologies de l’information, vous pouvez voir des lacunes dans les compétences d’autres secteurs, comme l’aérospatial, la construction ou le transport routier, pour ne citer que quelques exemples. Mais rarement la cybersécurité est reprise dans les statistiques. Rarement elle est mentionnée de façon isolée. Tout se passe, encore et toujours, comme si l’on préférait ignorer la surface de risques…»