Pénurie de compétences en sécurité informatique
La Commissaire européenne en charge de l’agenda numérique, Neelie Kroes, a confié lors du CeBIT 2013 que la compétitivité de l’UE était « menacée » si l’Europe ne faisait rien pour enrayer une pénurie croissante d’experts en informatique.
Selon les chiffres de la Commission, 900 000 postes liés de près ou de loin au secteur informatique seront à pourvoir d’ici 2015.Même
si ces chiffres incluent des activités informatiques sans rapport
avec la cyber-sécurité, le manque de compétences sur notre marché,
qui s’impose comme une évidence aux professionnels du secteur, est
ressenti à tous les niveaux, que ce soit stratégique, tactique ou
opérationnel.
La
cyber-sécurité ne souffre pas d’un manque de publicité. En
effet, la nature même de la sécurité informatique la met sous le
feu des projecteurs, les médias étant fascinés par le crime, par
les fuites de données au sein de grandes sociétés célèbres ainsi
que par les actions de groupes tels que les Anonymous. Cependant, il
s’agit d’un domaine incroyablement complexe qui oblige les
entreprises à rechercher les plus grands talents pour protéger
leurs marques et les données critiques de leurs clients et pour
éviter le vol de propriété intellectuelle.
Trouver et retenir des collaborateurs compétents est un problème récurrent pour l’entreprise et ne se limite pas à la cyber-sécurité. Cependant, et contrairement à de nombreux autres marchés similaires qui reposent sur les connaissances (l’ingénierie par exemple), le marché des experts en sécurité semble être de plus en plus concurrentiel. En effet, toujours plus d’entreprises sont contraintes de se disputer des talents trop rares.
Nombreuses sont les raisons qui expliquent cette pénurie de compétences qui va crescendo :
1- Les
attaques contre les infrastructures informatiques sont de plus en
plus complexes et la demande en collaborateurs hautement compétents
et spécialisés est de plus en plus forte à l’heure où il
manque des candidats qualifiés pour occuper les postes à pourvoir.
2- Les
entreprises sont chaque jour plus tributaires de leurs ressources
informatiques dont l’utilisation est toujours plus variée. Et
pour chacune de ces nouvelles utilisations, les exigences et les
risques de sécurité sont de plus en plus lourds pour les
entreprises concernées.
3- De
nouvelles réglementations dans le domaine de la sécurité et de la
conformité renforcent toujours un peu plus le cloisonnement des
compétences et limitent le nombre de professionnels disponibles
pour chaque profil spécifique.
4- Les
nouvelles tendances telles que l’hyper-connectivité, le Big Data,
le BYOD et la mobilité multiplient les opportunités d’accès aux
systèmes critiques par les pirates.
Mais
la conséquence la plus fâcheuse de toutes ces raisons est la
détérioration constante de la qualité des produits informatiques
disponibles.
En
effet, le nombre de vulnérabilités de sécurité auxquelles sont
exposées les entreprises continue de croître sensiblement tandis
que les solutions de sécurité peinent à s’aligner. Ce
qui, au final, entraîne un manque à gagner pour les entreprises qui
en sont victimes.
Des solutions, pas des problèmes
En
fin de compte, le remède au problème de sécurité qui sévit sur
le marché de la technologie réside peut-être dans toujours plus de
technologies. L’automatisation de la prévention et de la détection
des attaques s’est sensiblement développée. En outre, nous
constatons que les entreprises sont capables de se protéger contre
la plupart des attaques sans avoir besoin d’ingénieurs
spécialisés.
Bientôt,
et lorsque la technologie sera au point, les ordinateurs sauront se
protéger eux-mêmes. Cependant, l’automatisation n’est pas à
elle seule le remède miracle. En effet, les entreprises doivent
aussi se faire les porte-parole des bonnes pratiques de sécurité en
leur sein même.
Avons-nous vraiment besoin de plus de Responsables de la sécurité ?
Le
secteur technologique ayant désormais investi presque toutes les
activités, la demande en Directeurs de la sécurité (RSSI /CISO)
compétents va certainement augmenter. Cependant, le rôle de ces
Directeurs va évoluer sensiblement au cours des dix prochaines
années.
En
effet, ces CISO ne s’occuperont plus de résoudre des problèmes
mais devront veiller à la réalisation des objectifs métier de
l’entreprise, tout ceci sans oublier la sécurité. Les CISO
performants travailleront aussi avec les dirigeants de l’entreprise
pour que l’adoption des nouvelles technologies et usages se fasse
sans risque et en toute sécurité, le tout afin d’améliorer la
productivité et les transactions métier.
Le
personnel chargé de la sécurité le plus expert aura toujours sa
légitimité, mais au sein d’une entité qui fournira des services
de type IaaS (Infrastructure en tant que Service) ou dans le Cloud.
Une fois que l’infrastructure aura migré vers le Cloud, la
cyber-sécurité sera davantage « centralisée » au sein
d’une entité qui supervisera la sécurité de nombreuses autres
organisations.
C’est
bien vers un avenir radieux que nous tendons malgré les
avertissements répétés d’une pénurie de compétences qui nous
rendra tous vulnérables. Grâce à une infrastructure gérée de
manière centralisée, il sera possible de commencer à appliquer des
standards de sécurité de bout en bout pour renforcer la sécurité
de centaines d’entreprises qui, dans le cas contraire, ne
pourraient pas se protéger correctement elles-mêmes.
Après
quoi, la cyber-sécurité perdra sa réputation de mission à la fois
difficile et aliénante et rejoindra le cercle des fonctions expertes
et hautement respectées qui ont vu le jour ces vingt dernières
années. Ce qui par la même occasion sécurisera l’avenir des
professions de la sécurité.