Pénurie de compétences en sécurité informatique

La Commissaire européenne en charge de l’agenda numérique, Neelie Kroes, a confié lors du CeBIT 2013 que la compétitivité de l’UE était « menacée » si l’Europe ne faisait rien pour enrayer une pénurie croissante d’experts en informatique.

Même si ces chiffres incluent des activités informatiques sans rapport avec la cyber-sécurité, le manque de compétences sur notre marché, qui s’impose comme une évidence aux professionnels du secteur, est ressenti à tous les niveaux, que ce soit stratégique, tactique ou opérationnel.
La cyber-sécurité ne souffre pas d’un manque de publicité. En effet, la nature même de la sécurité informatique la met sous le feu des projecteurs, les médias étant fascinés par le crime, par les fuites de données au sein de grandes sociétés célèbres ainsi que par les actions de groupes tels que les Anonymous. Cependant, il s’agit d’un domaine incroyablement complexe qui oblige les entreprises à rechercher les plus grands talents pour protéger leurs marques et les données critiques de leurs clients et pour éviter le vol de propriété intellectuelle.

Trouver et retenir des collaborateurs compétents est un problème récurrent pour l’entreprise et ne se limite pas à la cyber-sécurité. Cependant, et contrairement à de nombreux autres marchés similaires qui reposent sur les connaissances (l’ingénierie par exemple), le marché des experts en sécurité semble être de plus en plus concurrentiel. En effet, toujours plus d’entreprises sont contraintes de se disputer des talents trop rares.

Nombreuses sont les raisons qui expliquent cette pénurie de compétences qui va crescendo :

1- Les attaques contre les infrastructures informatiques sont de plus en plus complexes et la demande en collaborateurs hautement compétents et spécialisés est de plus en plus forte à l’heure où il manque des candidats qualifiés pour occuper les postes à pourvoir.
2- Les entreprises sont chaque jour plus tributaires de leurs ressources informatiques dont l’utilisation est toujours plus variée. Et pour chacune de ces nouvelles utilisations, les exigences et les risques de sécurité sont de plus en plus lourds pour les entreprises concernées.
3- De nouvelles réglementations dans le domaine de la sécurité et de la conformité renforcent toujours un peu plus le cloisonnement des compétences et limitent le nombre de professionnels disponibles pour chaque profil spécifique.
4- Les nouvelles tendances telles que l’hyper-connectivité, le Big Data, le BYOD et la mobilité multiplient les opportunités d’accès aux systèmes critiques par les pirates.

Mais la conséquence la plus fâcheuse de toutes ces raisons est la détérioration constante de la qualité des produits informatiques disponibles.
En effet, le nombre de vulnérabilités de sécurité auxquelles sont exposées les entreprises continue de croître sensiblement tandis que les solutions de sécurité peinent à s’aligner. Ce qui, au final, entraîne un manque à gagner pour les entreprises qui en sont victimes.

Des solutions, pas des problèmes

En fin de compte, le remède au problème de sécurité qui sévit sur le marché de la technologie réside peut-être dans toujours plus de technologies. L’automatisation de la prévention et de la détection des attaques s’est sensiblement développée. En outre, nous constatons que les entreprises sont capables de se protéger contre la plupart des attaques sans avoir besoin d’ingénieurs spécialisés.
Bientôt, et lorsque la technologie sera au point, les ordinateurs sauront se protéger eux-mêmes. Cependant, l’automatisation n’est pas à elle seule le remède miracle. En effet, les entreprises doivent aussi se faire les porte-parole des bonnes pratiques de sécurité en leur sein même.

Avons-nous vraiment besoin de plus de Responsables de la sécurité ?

Le secteur technologique ayant désormais investi presque toutes les activités, la demande en Directeurs de la sécurité (RSSI /CISO) compétents va certainement augmenter. Cependant, le rôle de ces Directeurs va évoluer sensiblement au cours des dix prochaines années.
En effet, ces CISO ne s’occuperont plus de résoudre des problèmes mais devront veiller à la réalisation des objectifs métier de l’entreprise, tout ceci sans oublier la sécurité. Les CISO performants travailleront aussi avec les dirigeants de l’entreprise pour que l’adoption des nouvelles technologies et usages se fasse sans risque et en toute sécurité, le tout afin d’améliorer la productivité et les transactions métier.
Le personnel chargé de la sécurité le plus expert aura toujours sa légitimité, mais au sein d’une entité qui fournira des services de type IaaS (Infrastructure en tant que Service) ou dans le Cloud. Une fois que l’infrastructure aura migré vers le Cloud, la cyber-sécurité sera davantage « centralisée » au sein d’une entité qui supervisera la sécurité de nombreuses autres organisations.

C’est bien vers un avenir radieux que nous tendons malgré les avertissements répétés d’une pénurie de compétences qui nous rendra tous vulnérables. Grâce à une infrastructure gérée de manière centralisée, il sera possible de commencer à appliquer des standards de sécurité de bout en bout pour renforcer la sécurité de centaines d’entreprises qui, dans le cas contraire, ne pourraient pas se protéger correctement elles-mêmes.
Après quoi, la cyber-sécurité perdra sa réputation de mission à la fois difficile et aliénante et rejoindra le cercle des fonctions expertes et hautement respectées qui ont vu le jour ces vingt dernières années. Ce qui par la même occasion sécurisera l’avenir des professions de la sécurité.