Où sont les experts en sécurité informatique qualifiés et expérimentés ? Et que faire sans eux ?

Een case voor beveiligingssubsidies

Plus la technologie numérique est importante pour les gouvernements et les entreprises, plus grand est le risque. L’avancée de l’IA ne fait qu’accélérer cette tendance et c’est problématique : il n’y a pas assez de gens compétents disponibles pour gérer tout cela en ce moment.

« L’évolution et l’adoption de la technologie ne sont pas linéaires », observe Chris Dimitriadis, directeur de la stratégie mondiale chez Isaca. « Elle s’accélère. » Les entreprises et les gouvernements obtiennent donc des outils pour créer de nouvelles solutions utiles. C’est une bonne chose, mais la médaille a son revers : « Plus on utilise la technologie, plus on augmente les risques. »

Tout roule

Dimitriadis souligne que nous vivons une époque palpitante. Non seulement l’adoption de la technologie file à toute allure, mais en même temps, on ne peut plus freiner l’évolution de l’IA. L’IA est une technologie unique. Bien des gens essaient de prédire l’avenir, mais pour l’IA, il y a beaucoup d’incertitude. L’idée de cette technologie fait parler depuis longtemps, mais aujourd’hui, on a les applications.

Isaca est une communauté internationale pour la confiance numérique. La création de la confiance numérique est au cœur de la mission de l’organisation et stimule aussi Dimitriadis. La confiance vient à pied et s’en retourne à cheval, et les organisations doivent aujourd’hui naviguer parfaitement dans un labyrinthe très complexe.

L’importance convainc, mais pas la valeur

Heureusement, petit à petit, tout le monde se rend compte de l’importance de la sécurité numérique. Mais il reste encore deux problèmes. Dimitriadis : « La cybersécurité ne génère pas de revenus, et le sujet est trop technique pour beaucoup de décideurs. La sécurité reste difficile à quantifier et à mesurer. Mais comment définir la valeur d’un investissement dans la cybersécurité ? Surtout les petites et moyennes entreprises se grattent encore la tête à ce sujet. »

La cybersécurité ne génère pas de revenus, et le sujet est trop technique pour beaucoup de décideurs.

Chris Dimitriadis, directeur de la stratégie mondiale chez Isaca

La mesurabilité (ou le manque de mesurabilité) est un défi, mais certainement pas le plus important. Tout commence par les bonnes personnes, et elles sont rares. « Le fossé des compétences se creuse », note Dimitriadis. « L’offre et la demande s’éloignent de plus en plus. Il n’y a pas assez de professionnels pour s’attaquer au problème. »

C’est frappant : le développement technologique a beau avoir atteint une vitesse inégalée aujourd’hui, le fossé des compétences n’est pas un concept nouveau et il fait débat depuis longtemps. Si le problème est connu, la solution reste difficile à trouver. Où sont toutes les personnes qualifiées ?

Demande accrue de professionnels de l’informatique

Dimitriadis voit trois facteurs clés du côté de la demande de professionnels ayant des connaissances en informatique et en sécurité, et trois lignes directrices que les organisations peuvent déjà prendre en compte aujourd’hui pour atténuer les problèmes. Pour la demande, il s’agit des tendances suivantes :

  • Nouvelles réglementations : en Europe, de nouvelles règles telles que NIS2 et DORA apportent de la clarté. Il y a de plus en plus de textes législatifs sur la nécessité de la cyberrésilience, mais cela entraîne une plus grande demande de personnes qui savent exactement ce que les entreprises doivent faire avec ces règles.
  • Plus de complexité : des attaques de plus en plus sophistiquées ont mené à une multitude de solutions de sécurité, mais la complexité est le plus grand ennemi de la cybersécurité. Aujourd’hui, la technologie progresse vers la simplification, mais il faut encore de nombreuses personnes pour gérer les risques, faire le lien entre la technologie et la sécurité et, d’une manière générale, s’occuper de la technologie supplémentaire.
  • Lutte des talents : le paysage des cybermenaces est rentable, et cela attire les activités criminelles. Le gain monétaire reste la plus grande motivation et le problème s’aggrave. Les entreprises tentent de se protéger et, au niveau macroéconomique, une lutte pour les talents est donc en train d’éclater. Les entreprises riches attirent donc les travailleurs les plus compétents. C’est un gros problème pour les petites entreprises qui ont du mal à maintenir leur personnel informatique.

Faire plus avec moins

Ainsi, de nouvelles règles, plus d’attaques, plus de complexité et une bataille pour les talents augmentent la demande en personnel informatique. « De même, la disponibilité des bonnes personnes augmente », note Dimitriadis. « Mais plus lentement. » Toutefois, cela ne signifie pas que les organisations sont totalement démunies. Dimitriadis voit trois thèmes clés que les entreprises peuvent étudier à partir d’aujourd’hui :

  • Forme le personnel : le personnel en place devrait être mieux formé, en particulier dans le domaine de la tech. Tout le monde n’a pas besoin de se spécialiser en informatique, mais la formation aux compétences fondamentales liées à la cybersécurité et à la confiance numérique aide grandement.
  • Accent sur la réponse : les incidents sont inévitables. Il faut se concentrer sur la réponse en cas de problème et penser aux services gérés (« managed services »). Avec un plan d’intervention efficace, on peut reprendre ses activités rapidement après un incident.
  • Partenaires : analysez la chaîne logistique et veillez à ce que vos partenaires coopèrent avec vous. Une certification adéquate des fournisseurs et des clauses de responsabilité dans les contrats peuvent déjà instaurer la confiance. En choisissant des partenaires, il faut tenir compte de la cybersécurité immédiatement.

À l’avenir, il faut bien sûr recruter davantage de personnes qualifiées. Selon Dimitriadis, la formation des personnes qui travaillent aujourd’hui dans l’entreprise joue un rôle important à cet égard. « Mieux les gens sont formés aux principes fondamentaux de la sécurité, mieux ils peuvent faire le lien entre la cybersécurité et l’impact sur la valeur de l’entreprise. »

Subvention pour la sécurité

Il pense aussi que les gouvernements jouent un rôle important. « Le gouvernement devrait investir davantage dans la cybersécurité et peut-être considérer de subventionner le coût de la sécurité numérique. Cela vaut certainement pour les petites entreprises. Pour elles, la sécurité est rarement une priorité absolue quand elles essaient simplement de survivre. »

Le gouvernement joue déjà un rôle, notamment avec NIS2. Il existe des règles pour renforcer la cyber-résilience de l’Europe. Cela implique que des entreprises sécurisées sont un facteur important de la construction d’une société sécurisée. Compte tenu de l’intérêt public, les arguments en faveur des subventions ne sont pas si absurdes.

La pénurie de personnel informatique qualifié ne sera pas résolue en une nuit. L’évolution fulgurante du paysage technologique signifie que, malgré la croissance, la réserve de talents compétents est insuffisante pour l’instant. Et n’attendez pas que cette cadence effrénée ralentisse pour autant. Grâce au lancement de l’IA générative l’année dernière, les applications numériques sont vraiment omniprésentes. Que faire alors en tant qu’entreprise ? Juste une bonne optique, combinée à des connaissances plus basiques concernant la technologie et la sécurité, peuvent déjà aider grandement.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.