Sommaire
Selon une enquête Gartner, 61 % des entreprises ont du mal à embaucher des professionnels de la cybersécurité. Ce domaine à faible taux de chômage où le besoin de travailleurs qualifiés est en constante augmentation. Les entreprises se battent donc pour trouver et garder les experts dont elles ont besoin afin d’assurer l’atteinte des objectifs stratégiques.
Les entreprises sont plus nombreuses que jamais à étendre leur business en ligne. Le développement de l’empreinte numérique et la fréquence des cyber-attaques ont engendré une nécessité croissante de sécuriser les informations et dispositifs déployés par les entreprises. Gartner prédit que les dépenses mondiales en matière de sécurité de l’information atteindront 124 milliards de dollars en 2019. Malgré toutes ces dépenses, certains chercheurs en sécurité prédisent que le coût de la cybercriminalité aurait quadruplé depuis 2015, pour atteindre 2,1 milliards de dollars à la fin de 2019 et dépasser de plus de 16 fois les dépenses consacrées à la cybersécurité.
En réalité, les entreprises ont du mal à suivre le rythme des cybercriminels. Il existe de nombreuses spéculations à ce sujet. La transformation numérique, telle que l’adoption du cloud, le SD-WAN et l’IoT (Internet des objets), met en évidence des moyens d’attaque nouveaux et inattendus. Examinons la façon dont les entreprises sont touchées par la pénurie, ainsi que les 4 conseils pour faire face à la pénurie de compétences en matière de sécurité.
Les infrastructures de « Command & Control » des attaquants cyber observés en 2021 par Sekoia.io
Comment les entreprises sont-elles affectées par la pénurie ?
La multiplication des cyber-attaques complexes a fait naître le besoin de personnel qualifié en matière de cybersécurité pour protéger les entreprises. Par exemple, au mois de décembre 2016, un chercheur a envoyé un simple message à une société de surveillance des cartes de crédit : Equifax. Le message était le suivant : « Votre site web est vulnérable à une cyber-attaque ». La société n’a pas corrigé la vulnérabilité susmentionnée. Six mois plus tard, en mai 2017, des hackers ont saisi les données sensibles de 145,5 millions d’Américains.
C’est un exemple typique et fréquent d’une entreprise qui échoue en raison des dispositions en matière de cybersécurité et de la pénurie de professionnels qualifiés. Il s’est avéré que le cadre supérieur chargé de la cybersécurité à Equifax n’avait pas réellement de compétences ou connaissances précises en matière de cybersécurité. Cet exemple montre clairement que les entreprises sont confrontées à une énorme pénurie de compétences.
De même, la troisième étude annuelle en 2018 sur les professionnels de la cybersécurité dans le monde réalisée, menée par l’Association pour la sécurité des systèmes d’information (ISSA) et l’Enterprise Strategy Group (ESG), a observé que 18% des entreprises déclaraient souffrir d’une pénurie de talents en cybersécurité. Ce déficit est lié aux domaines du cloud, des applications, des analyses/examens de sécurité, de la stratégie des risques, de l’architecture de sécurité et des tests d’intrusion. L’une des raisons expliquant cette pénurie est le type de poste relativement nouveau qui accompagne les besoins en cybersécurité. Par conséquent, les experts observent un manque évident de normalisation autour des titres et des terminologies, ce qui entraînerait un manque de clarté dans les parcours professionnels.
Examinons quelques-unes des principales conséquences auxquelles les entreprises doivent faire face lorsqu’elles sont touchées par la pénurie de compétences en cybersécurité.
La charge de travail croissante du personnel de cybersécurité existant
Selon l’étude ESG, 66% des participants affirment que la pénurie de compétences en cybersécurité a entraîné une intensification de la charge de travail du personnel actuel. Étant donné que les entreprises ne disposent pas de suffisamment de personnel qualifié, la tâche supplémentaire incombe aux employés existants. Cela conduit inévitablement à des erreurs de configuration informatique, à des erreurs individuelles, à une mauvaise répartition des tâches en fonction des compétences et à l’épuisement des employés in fine.
Incapacité à utiliser pleinement le potentiel des technologies de cybersécurité
L’étude ESG a également révélé que 47% des participants considèrent que la pénurie de compétences en cybersécurité est due à l’incapacité d’apprendre ou d’utiliser les technologies de sécurité à leur plein potentiel. Les organisations achètent des outils de sécurité coûteux mais ne trouvent pas le temps de les mettre en œuvre par manque d’expérience ou de ressources, pour en tirer pleinement parti. La qualité des produits n’aura pas d’importance si personne dans l’équipe IT ne sait comment les utiliser correctement. Par exemple, les entreprises sont très préoccupées par les logiciels malveillants et les menaces persistantes avancées, alors qu’un employé sur cinq seulement est convaincu de sa capacité à utiliser correctement ces outils de sécurité pour se défendre contre des attaques complexes.
Nécessité de former les jeunes employés
L’étude ESG indique enfin que la pénurie de compétences en cybersécurité est la cause du recrutement et de la formation de jeunes employés plutôt que de l’embauche d’experts expérimentés en cybersécurité. Alors que de plus en plus d’entreprises s’efforcent de satisfaire les compétences requises, elles doivent faire des choix précipités pour répondre à leurs besoins, même s’ils ne sont certainement pas les bons. Le temps et les ressources financières mobilisés dans la création d’un processus de formation des employés juniors ou non spécialisés constituent, une autre dépense importante que les entreprises doivent prévoir.
Manque de temps pour travailler sur les enjeux business de l’entreprise
La pénurie de compétences se traduit également par un manque de temps pour travailler avec les organismes des entreprises afin d’adapter la cybersécurité aux méthodes commerciales. Cela n’aide aucune entreprise au final. Les organisations créent ou superposent des technologies dans le cadre de leurs enjeux commerciaux, mais l’équipe de cybersécurité n’a pas suffisamment de temps pour travailler avec l’entreprise dans le but réduire le danger ou sécuriser les méthodes commerciales.
4 étapes pour mieux gérer la pénurie
La détection de brèches, la recherche proactive des menaces et la réponse aux incidents sont des processus intensifs reposant sur des compétences de haut niveau. Il est donc raisonnable de croire que la pénurie de compétences en cybersécurité aurait de grandes conséquences dans ce domaine. Peut-on faire quelque chose ? Oui ! Les RSSI doivent s’attendre à manquer de personnel et donc répondre aux exigences de la cybersécurité en suivant ces 4 étapes :
Valoriser votre personnel actuel
Les organisations doivent valoriser leur personnel actuel. Il s’agit d’un élément essentiel de la cybersécurité. De nouvelles solutions de sécurité font leur apparition sur le marché pour aider les entreprises à protéger leurs données, mais sans travailleurs expérimentés et qualifiés pour les mettre en œuvre et les utiliser, ces outils ne pourront pas remplir leur fonction. Les entreprises doivent également s’efforcer de conserver les meilleurs et les plus brillants éléments de leur personnel de sécurité, investir dans la progression professionnelle de ces employés et s’efforcer de mettre en place une pratique de sécurité par la cohésion. La valorisation du personnel peut commencer par l’utilisation d’outils permettant de les libérer de la tâche la plus redondante et la moins utile pour élaborer un programme de formation visant à responsabiliser les équipes.
Par exemple, de nombreuses entreprises disposent d’énormes équipes de développement, mais sont peu impliquées dans la sécurité. Ces experts ont souvent la capacité et l’intérêt d’acquérir les compétences requises en matière de sécurité et de se lancer dans un nouveau rôle. Pour travailler sur ce point, les entreprises peuvent proposer des ateliers de sécurité sur site en sous-traitant la formation à un tiers. Si un employé peut trouver un moyen de tirer parti de son travail et d’assumer de nouvelles responsabilités dans le domaine de la sécurité, il a plus de chances d’y participer.
Donner une place à l’automatisation
L’automatisation de la sécurité est un mécanisme qui peut être utilisé pour éliminer la responsabilité des travailleurs en matière de décisions de sécurité. Les logiciels automatisés peuvent être préparés pour détecter spontanément des menaces de sécurité spécifiques, en reconnaissant les pièces jointes menaçantes et en analysant les messages entrants, à la recherche d’URL malveillantes. Une fois reconnu, le logiciel travaillera également à éliminer la menace. Les méthodes standard, telles que la gestion de la sécurité par les individus, sont particulièrement sujettes aux erreurs et aux mauvaises configurations pouvant entraîner des temps d’arrêt importants, un audit interrompu ou, pire encore, une violation des données. Dans certains cas, les méthodes primaires telle que les pratiques de mise hors-service ou les serveurs n’ont pas lieu en raison des limitations de la bande passante, une erreur qui peut exposer le réseau à des cybermenaces.
L’automatisation de la sécurité est l’administration automatique des responsabilités liées aux opérations de sécurité. C’est la méthode permettant de mener à bien ces tâches, comme l’analyse des vulnérabilités, sans intervention humaine ou d’envisager un exemple d’enquête sur les logiciels malveillants. La liste suivante de tâches ne semble que trop commune :
● Surveillance d’ e-mails et d’autres causes propices aux infections par des logiciels malveillants ;
● Fichiers détonants dans une sandbox ;
● Implémentation des instantanés VM ;
● Programmes malveillants d’ingénierie inversée ;
● Suppression des logiciels malveillants.
Adopter des solutions de sécurité basées sur le cloud
La migration vers les solutions de sécurité basées sur le cloud présente de nombreux avantages, tels que l’amélioration de la flexibilité, de l’administration et de la scalabilité. Les entreprises ont besoin d’une sécurité cloud qui intègre un pare-feu, un antivirus,des sandboxes et d’autres outils pour surveiller le trafic entrant et lutter contre les menaces. La hiérarchisation des risques ne se limite pas à la découverte des vulnérabilités ayant obtenu les meilleurs scores CVSS ; pour déterminer où diriger les travaux de votre équipe, vous devez tenir compte de l’exposition aux logiciels malveillants, de l’exposition aux exploitations et de l’âge des vulnérabilités pour les hiérarchiser.
Par exemple, la gestion des vulnérabilités est la méthode qui permet de reconnaître, d’évaluer, de traiter et de signaler les vulnérabilités de sécurité des systèmes et des logiciels qui s’y exécutent. Les vulnérabilités de sécurité, à leur tour, indiquent les failles technologiques qui permettent aux attaquants de compromettre un produit et les données qu’il contient. Cette méthode doit être mise en œuvre de manière continue afin de suivre les nouveaux systèmes connectés aux réseaux, les développements apportés aux systèmes et l’identification de nouvelles vulnérabilités au fil du temps.
Pour aider à contourner ce problème, les solutions de sécurité dans le cloud fournissent un logiciel de gestion des vulnérabilités qui peut aider à automatiser cette méthode. Ils appliqueront un scanner de vulnérabilité et rarement des outils de point de terminaison pour enquêter sur une variété de systèmes sur un réseau et découvrir les vulnérabilités sur ceux-ci. Une fois les vulnérabilités identifiées, le risque qu’elles posent doit être évalué dans différents contextes afin de pouvoir tirer des conclusions sur la meilleure façon de les traiter. Par exemple, la validation des vulnérabilités peut être une méthode efficace pour contextualiser la gravité réelle d’une vulnérabilité. L’analyse comporte quatre étapes :
● Scanner les systèmes accessibles par le réseau en les sondant ou en leur transférant le trafic du réseau ;
● Reconnaître les ports ouverts et les services en cours d’exécution sur les systèmes scannés ;
● Enfin, se connecter à distance aux systèmes pour recueillir des informations supplémentaires sur le système ;
● Comparer les informations du système avec les vulnérabilités connues.
Externaliser une partie de votre effort de sécurité
Comme mentionné précédemment, de nombreux postes dans le domaine de la cybersécurité sont vacants, car l’offre de candidats qualifiés est actuellement inférieure au nombre d’emplois disponibles.
Selon l’enquête Future of Cyber Survey réalisée par Deloitte en 2019, l’externalisation d’une partie de vos efforts de sécurité peut aider à améliorer la vitesse et la qualité et permettre à l’organisation de faire plus avec moins. Selon les résultats de l’enquête, presque toutes les personnes interrogées disent avoir externalisé une partie de leur stratégie de cybersécurité à des fournisseurs tiers et, 14% d’entre eux disent que plus de 50% de leurs opérations de cybersécurité sont externalisées. Parmi les RSSI, 65% déclarent avoir externalisé entre 21% et 30% de leurs opérations de cybersécurité.
Ainsi, trouver les personnes compétentes pour une équipe d’intervention interne peut prendre beaucoup de temps. Si un incident se produit en attendant de pourvoir ces postes, l’entreprise est vulnérable. L’externalisation signifie qu’une entreprise pourrait être protégée beaucoup plus rapidement. Par exemple, si vous êtes une organisation qui traite des informations sensibles de votre client, vous pourriez être la cible d’un attaquant. Et comme la confiance est de nos jours un éléments clé en affaire, vous ne pouvez pas vous permettre de prendre ce risque au grand jour, vous devez être en mesure de répondre en cas d’incident. L’externalisation d’une équipe de réponse aux incidents peut vous apporter non seulement une expertise mais aussi un aperçu des défauts possibles de votre plan de réponse aux incidents fonctionnels.
La formation est un autre aspect intéressant du développement de carrière du personnel de cybersécurité. De nombreuses entreprises peuvent résoudre ce problème de pénurie de compétences en matière de cybersécurité en adoptant une stratégie de formation permanente au sein de leur organisation ainsi qu’une formation de perfectionnement individuel. Le principal enjeu en matière de cybersécurité est l’influence des MTT (méthodes, techniques et astuces) des hackers et cela demande une éducation permanente. Selon l’étude ESG, 96 % des professionnels de la cybersécurité reconnaissent l’importance de l’apprentissage continu, faute de quoi les entreprises seront nettement désavantagées.
Désirez-vous être plus efficace dans vos réponses face aux incidents ? Souhaitez-vous que des experts en cybersécurité soutiennent votre entreprise ? Essayez Sekoia.io gratuitement dès maintenant !!
Vous pouvez lire aussi sur le blog :
- Sekoia.io arbore fièrement le drapeau de la « Cybersécurité Made In Europe »
- SOC augmenté — Comment repenser votre centre de sécurité ?
- La Threat Intelligence n’est pas (seulement) sur un spectre
- XDR n’est pas un EDR++
- Le paysage des menaces ransomware observé par Sekoia.io durant le 1ᵉʳ semestre 2022
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !