La formation en cybersécurité passe par un écosystème vertueux

Le secteur de la cybersécurité souffre d'une pénurie de talents face aux menaces actuelles. La formation dans le domaine reste la réponse première pour y faire face mais encore faut-il que celle-ci soit à la hauteur des attentes, notamment en matière de bug bounty. Et s'il est important de former, il est aussi important de le faire avec des outils et des techniques en accord avec la réalité du marché.

Avec le nombre croissant de menaces et d’attaques auxquelles on se trouve aujourd’hui confrontés, la cybersécurité est devenue un enjeu à la fois économique et sociétal. Malgré l’importance que prend la cybersécurité, il est toutefois dommageable de voir que le secteur souffre d’un déséquilibre entre l’état de la menace et les capacités de défense du marché. Selon une étude publiée par le cabinet Gartner, 50% des entreprises dans le monde devraient avoir recours au bug bounty, qui permet de mettre en place de vastes programmes de détection de faille de sécurité, d’ici à 2022, contre 5% actuellement. Ces chiffres sont édifiants et posent en termes éloquents le problème auquel notre société est confrontée, d’autant plus que les talents manquent cruellement. Aujourd’hui près de 3 millions de postes sont à pourvoir dans le monde en matière de cybersécurité, dont plusieurs milliers en France. Mais comment rattraper ce retard et armer efficacement les États, les entreprises et les organisations contre ces menaces ? 

Pour remédier à cette situation, il me semble important de travailler à renforcer rapidement la capacité des acteurs publics et privés à lutter contre la cybercriminalité, par exemple en détectant et corrigeant les failles en amont, notamment via le bug bounty, et en développant les techniques de contre mesure et de réponse aux incidents. Mais là aussi il y a des lacunes dans la formation autour de ces techniques. Avec les méthodes actuelles de formation, un étudiant qui sort d’une école doit encore pratiquer au moins un an avant de pouvoir s’attaquer efficacement à la détection de faille de sécurité avec un niveau de junior pour la simple et bonne raison que ces compétences ne s’apprennent qu’en pratiquant. 

Or aujourd’hui, les processus d’apprentissage en matière de cybersécurité se concentrent sur des situations qui représentent peut-être l’état de l’art de l’IT, mais malheureusement pas la réalité des systèmes d’information en production. Ces derniers, utilisés par les entreprises et les institutions, sont souvent des assemblages de technologies hétéroclites faisant cohabiter des systèmes de diverses générations. Quand on voit que certaines institutions utilisent encore des systèmes basés sur des OS serveur vieux de plusieurs dizaines d’années, entraîner des hackers à détecter des failles uniquement sur des infrastructures cloud conteneurisées peut sembler vain. En outre, chaque système aura ses spécificités qui lui sont propres. 

C’est pourquoi il faut aujourd’hui créer un écosystème qui permettrait de faire travailler les étudiants et les talents sur des systèmes semblables à ceux qui existent dans la réalité. En apportant aux étudiants les situations rencontrées par les hackers dans des campagnes officielles de bug bounty, il sera plus simple de les préparer à la réalité des environnements qu’ils rencontreront ensuite. En outre, les techniques et les tentatives qu’ils réaliseront sur les simulations qui seront mises à leur disposition permettront d’enrichir les bases des données. Ces données seront partagées avec divers entités et organisations pour servir à des travaux de recherches en matière de développement de nouveaux outils de lutte contre la cybercriminalité.  

En prenant les devants en matière de formation, les entreprises, les institutions et les acteurs de la formation peuvent rattraper le retard en matière de détection de faille et rentrer dans un cercle vertueux de partage de la connaissance. En mettant à disposition des étudiants des situations réelles sur lesquelles s’entraîner, les universités et les écoles amélioreront leur apprentissage. Les jeux de données générés par ces étudiants pourront ensuite être partagés et utilisés pour de nouveaux usages à destination des nouveaux métiers de l'IT comme par exemple les data scientistes ou les DevSecOps. Et ainsi de suite.