Génèse d’une faille de cybersécurité
L’industrie reconnaît l’importance d’une expertise en cybersécurité dans l’actuel contexte d’intensification des menaces. Mais à quoi bon recruter des talents dans le domaine de la cybersécurité si la direction n’écoute pas leurs conseils ?
Le marché de l’emploi dans le secteur de la cybersécurité est en pleine effervescence sous l’effet de la volonté des entreprises de recruter, souvent à des postes nouvellement créés, des talents capables de faire face à l’ampleur des attaques d’une complexité et d’une gravité croissantes. Voici quelques statistiques, publiées dans un récent article de CSO, illustrant cette tendance :
- On compte actuellement environ 350 000 nouveaux emplois créés dans
le secteur de la cybersécurité, une augmentation de 67% par rapport à 2015
- Le taux de chômage du secteur en 2016 était de 0% et devrait se
maintenir ainsi jusqu’à 2021
- Selon les prévisions de Symantec, la demande de talents dans le
domaine de la cybersécurité devrait atteindre 6 millions de postes d’ici à 2019
L’industrie reconnaît l’importance d’une expertise en cybersécurité dans l’actuel contexte d’intensification des menaces. Mais à quoi bon recruter des talents dans le domaine de la cybersécurité si la direction n’écoute pas leurs conseils ?
Je suis récemment tombé sur ce fil de discussion sur Reddit initié par un architecte cybersécurité pour exprimer sa frustration dans le cadre d’un projet de serveurs. Ses échanges d’e-mail avec son collègue et son supérieur hiérarchique sur Reddit sont en ligne et donnent le contexte général. Mais ce qu’il faut surtout en retenir est que ses préoccupations et ses conseils en matière de sécurité n’étaient pas considérés ou étaient considérés comme secondaires, du fait de l’intérêt du manager de clore le projet à temps. Dans un e-mail de ce dernier, on peut lire : « En raison du calendrier serré lié à l’approche du [évènement en question], faites-en sorte que tout soit opérationnel au plus vite et nous reviendrons ensuite sur le déploiement des correctifs et le renforcement de la sécurité ».
Les commentaires qui ont suivi montrent que ce n’est pas un incident isolé. Un contributeur du fil de discussion explique : « Si la sécurité en vient à ralentir la production et donc à nuire à la rentabilité, [la direction] se désolidarise toujours de l’IT. C’est une question d’équilibrage des risques. S’ils n’ont jamais subi de compromission de sécurité, ils emprunteront la voie la plus risquée jusqu’à ce qu’ils y soient confrontés ».
Un autre abonde dans son sens : « Et même s’ils subissent une faille de sécurité, ils prendront la question au sérieux pendant six semaines au maximum, avant que le naturel ne revienne au galop et que finalement tout revienne comme avant ». Il ajoute : « Et la direction dira « comparée à ce que vous proposez, cette compromission de sécurité ne nous aura pas coûté si cher finalement ». »
C’est sans doute l’auteur du premier post qui illustre le mieux la situation : « Entre les thématiques en vogue et les erreurs de priorité dans les entreprises, voilà comment une nouvelle faille de cybersécurité, qui ne sera jamais comblée, voit le jour ».
Cet état d’esprit doit absolument changer pour que les entreprises puissent protéger sérieusement leurs systèmes les plus critiques. Les professionnels de la cybersécurité devraient être sollicités dès le tout début des projets de façon à ce que leur avis compte dans l’établissement du calendrier et qu’il influence la définition des livrables attendus. Dans le cas mentionné ci-dessus, la personne qui a publié sur Reddit n’a été contactée au sujet du changement de serveur qu’au bout de la onzième heure de travail : trop tard pour que ses suggestions d’améliorations priment sur le seul respect de l’échéance de fin du projet. S’il avait été consulté dès le départ, l’entreprise aurait pu tenir compte de ses propositions sans pour autant ralentir le projet.
Il est également possible que ses avertissements eussent malgré tout été ignorés (c’est d’ailleurs ce qui me préoccupe le plus, et ce doit également être le cas de tous les lecteurs sensibles à la sécurité informatique !). Mobiliser de nouvelles ressources, spécialistes de la cybersécurité, est certes une première étape nécessaire pour faire face aux actuelles menaces, mais c’est en vain si l’on n’écoute pas leurs suggestions ou si l’on n’y donne pas suite.
Si l’on veut que la situation décrite dans le fil Reddit tienne plus de l’exception que de la règle, l’industrie a du pain sur la planche. On mesure bien l’ampleur de la demande de talents spécialistes de la cybersécurité : à présent il faut les laisser faire leur travail.