Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

Cybersécurité : Pas assez de monde, mais encore trop d’hommes !

Publié le

Cybersécurité : Pas assez de monde, mais encore trop d’hommes !
© Sebastiaan ter Burg - Wikimedia commons

Le conflit grandissant entre l’univers de la cybercriminalité et celui du monde de l’activité privée est une guerre à la fois technologique, mais aussi organisationnelle et culturelle. Ses soldats sont dans les tranchées dans les entreprises, du directeur des systèmes d’information au DevOps formé au développement "Secure by design" ; de l’employé formé aux techniques d’attaques par emails d’hameçonnage au responsable de la sécurité des systèmes d’information en passant par le membre du conseil d’administration qui a décidé d’être le référent "Cybersecurité" pour le conseil. Derrière ces forces, il y a les unités d’appoint – parmi eux, les cabinets de conseil et audit, les "pentesters" qui vont tester la sécurité des systèmes et bien sûr les éditeurs de logiciels et autres formateurs ou fournisseurs de services spécialisés en cybersécurité. Cela fait pas mal de monde sur le papier…

…Seulement, dans les faits, il n’y en a juste pas assez. Ce qui explique peut-être en partie pourquoi les cybercriminels semblent continuer à avoir le dessus.

L’étude "Cybersecurity Workforce" de (ISC)2, un organisme de formation et de certification aux métiers de la cybersécurité, avance que presque trois millions d’employés dédiés à la cybersécurité manqueraient dès aujourd’hui au niveau mondial. L’essentiel de ce manque se trouverait d’ailleurs dans la région Asie-Pacifique (2,1 millions), l’Amérique du Nord représentant la deuxième zone en manque de talent (0,5 millions) et la région Europe / Afrique / Moyen-Orient arrivant en troisième position, avec un manque d’environ 150 000 postes. L’Europe pourrait-elle donc se reposer sur ses lauriers ? En fait non. Les chiffres beaucoup plus bas pourraient également trahir un manque de volonté d’investir sur la question de la cybersécurité dans le vieux Continent – alors que les Etats-Unis et surtout la région Asie Pacifique mettraient la barre au niveau nécessaire. Une récente étude de PwC France met en lumière cette trop faible mobilisation : deux tiers des entreprises françaises considèreraient que le risque de cybermenace pour leur entreprise n’est pas important ; 45% n’auraient ni personne dédiée à assurer la cybersécurité, ni même stratégie de cybersécurité ; et moins d’une entreprise sur 5 aurait vraiment mis en œuvre l’ensemble des moyens de protection possibles... Résultat : 95% des entreprises interrogées ne comptent pas engager une personne dédiée à la cybersécurité dans les douze prochains mois. Evidemment, il n’y a pas besoin de soldats si l’on pense que l’on vit presque toujours en paix.

Les régions et pays qui ont eux perçu les premiers cette menace, mais aussi cette garantie supérieure de qualité si la menace a été bien gérée, savent qu’ils vont faire face à une compétition sur les talents. Evidemment, comme ils seront les premiers sur un marché du talent de plus en plus mondialisé, ils seront aussi les premiers servis. Mais cela ne suffira pas, et ils seront aussi les premiers à développer de nouvelles solutions pour parer à ce déficit. Il y en a plusieurs : d’une part la mutualisation des ressources – par exemple, pour les hackers éthiques, via des sociétés de conseils, ou même des plateformes de hacker "freelance", les "bug bounty". L’automatisation des tâches les plus simples, ou les plus facilement répétables, via le développement des multiples formes d’intelligence artificielle offrent de nouvelles promesses : les solutions avancées pour la détection des attaques, mais aussi l’orchestration des réponses, voire l’identification et la classification automatisée des données importantes, devraient permettre d’alléger la charge de travail pour les professionnels de cybersécurité – qui pourront donc s’occuper à de nouveaux défis. De nouvelles formes de recrutement pourront avoir lieu, mettant l’accent moins sur les diplômes -encore trop peu nombreux – et plus sur l’intérêt, l’expérience et le formation, avec certifications à la clé.

Enfin, il reste le principal écueil : il n’y aurait, au niveau mondial, que 10-15% de femmes parmi le personnel dédié à la cybersécurité. On retrouve là les problèmes soulevés de manière général par le différentiel observés en termes d’études dans les matières informatiques vis-à-vis des femmes. Il faut d’ailleurs rappeler qu’il s’agit d’un problème relativement récent : jusque vers les années 1980, la progression des femmes dans les études informatiques était aussi rapide et forte que dans le droit ou la médecine. Parmi les coupables de la régression qui a suivi : peut-être l’introduction de la micro-informatique à la maison dans les années 1980 justement, et des biais parentaux en faveur des garçons plutôt que des filles par rapport à l’accès à l’ordinateur. 

Cette absence des femmes est dangereuse désormais par rapport au manque de talents en cybersécurité. Et sur le fond, elle est bien sûr absurde. La situation a pu pâtir de l’image très guerrière d’un hacker solitaire derrière son hoodie, figure imposée au démarrage de notre ère "cyber".  Or la cybersécurité doit être de plus en plus comprise comme un "sport d’équipe", où tout le monde doit être capable de parler avec tout le monde, et comprendre a minima ce que fait le voisin. Il s’agit là de l’un des principes fondateurs des organisations résilientes, et il ne laisse pas de place au héros solitaire à la parole muette. D’ailleurs, quand on leur fait revêtir le fameux hoodie, les femmes finissent par battre les hommes : lors de la conférence de hackers organisé à la mi-octobre par Hack.Lu dans le cadre de la semaine de la cybersécurité à Luxembourg, c’est un groupe de hackers internationaux au féminin, Blackhoodie, qui a remporté l’une des compétitions… Bref : il est grand temps de laisser la place aux femmes dans la cybersécurité.    

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte