Où sont les experts en sécurité informatique qualifiés et expérimentés ? Et que faire sans eux ?

Een case voor beveiligingssubsidies

Plus la technologie numérique est importante pour les gouvernements et les entreprises, plus grand est le risque. L’avancée de l’IA ne fait qu’accélérer cette tendance et c’est problématique : il n’y a pas assez de gens compétents disponibles pour gérer tout cela en ce moment.

« L’évolution et l’adoption de la technologie ne sont pas linéaires », observe Chris Dimitriadis, directeur de la stratégie mondiale chez Isaca. « Elle s’accélère. » Les entreprises et les gouvernements obtiennent donc des outils pour créer de nouvelles solutions utiles. C’est une bonne chose, mais la médaille a son revers : « Plus on utilise la technologie, plus on augmente les risques. »

Tout roule

Dimitriadis souligne que nous vivons une époque palpitante. Non seulement l’adoption de la technologie file à toute allure, mais en même temps, on ne peut plus freiner l’évolution de l’IA. L’IA est une technologie unique. Bien des gens essaient de prédire l’avenir, mais pour l’IA, il y a beaucoup d’incertitude. L’idée de cette technologie fait parler depuis longtemps, mais aujourd’hui, on a les applications.

Isaca est une communauté internationale pour la confiance numérique. La création de la confiance numérique est au cœur de la mission de l’organisation et stimule aussi Dimitriadis. La confiance vient à pied et s’en retourne à cheval, et les organisations doivent aujourd’hui naviguer parfaitement dans un labyrinthe très complexe.

L’importance convainc, mais pas la valeur

Heureusement, petit à petit, tout le monde se rend compte de l’importance de la sécurité numérique. Mais il reste encore deux problèmes. Dimitriadis : « La cybersécurité ne génère pas de revenus, et le sujet est trop technique pour beaucoup de décideurs. La sécurité reste difficile à quantifier et à mesurer. Mais comment définir la valeur d’un investissement dans la cybersécurité ? Surtout les petites et moyennes entreprises se grattent encore la tête à ce sujet. »

La cybersécurité ne génère pas de revenus, et le sujet est trop technique pour beaucoup de décideurs.
Chris Dimitriadis, directeur de la stratégie mondiale chez Isaca

La mesurabilité (ou le manque de mesurabilité) est un défi, mais certainement pas le plus important. Tout commence par les bonnes personnes, et elles sont rares. « Le fossé des compétences se creuse », note Dimitriadis. « L’offre et la demande s’éloignent de plus en plus. Il n’y a pas assez de professionnels pour s’attaquer au problème. »

C’est frappant : le développement technologique a beau avoir atteint une vitesse inégalée aujourd’hui, le fossé des compétences n’est pas un concept nouveau et il fait débat depuis longtemps. Si le problème est connu, la solution reste difficile à trouver. Où sont toutes les personnes qualifiées ?

Demande accrue de professionnels de l’informatique

Dimitriadis voit trois facteurs clés du côté de la demande de professionnels ayant des connaissances en informatique et en sécurité, et trois lignes directrices que les organisations peuvent déjà prendre en compte aujourd’hui pour atténuer les problèmes. Pour la demande, il s’agit des tendances suivantes :

Nouvelles réglementations : en Europe, de nouvelles règles telles que NIS2 et DORA apportent de la clarté. Il y a de plus en plus de textes législatifs sur la nécessité de la cyberrésilience, mais cela entraîne une plus grande demande de personnes qui savent exactement ce que les entreprises doivent faire avec ces règles.
Plus de complexité : des attaques de plus en plus sophistiquées ont mené à une multitude de solutions de sécurité, mais la complexité est le plus grand ennemi de la cybersécurité. Aujourd’hui, la technologie progresse vers la simplification, mais il faut encore de nombreuses personnes pour gérer les risques, faire le lien entre la technologie et la sécurité et, d’une manière générale, s’occuper de la technologie supplémentaire.
Lutte des talents : le paysage des cybermenaces est rentable, et cela attire les activités criminelles. Le gain monétaire reste la plus grande motivation et le problème s’aggrave. Les entreprises tentent de se protéger et, au niveau macroéconomique, une lutte pour les talents est donc en train d’éclater. Les entreprises riches attirent donc les travailleurs les plus compétents. C’est un gros problème pour les petites entreprises qui ont du mal à maintenir leur personnel informatique.

Faire plus avec moins

Ainsi, de nouvelles règles, plus d’attaques, plus de complexité et une bataille pour les talents augmentent la demande en personnel informatique. « De même, la disponibilité des bonnes personnes augmente », note Dimitriadis. « Mais plus lentement. » Toutefois, cela ne signifie pas que les organisations sont totalement démunies. Dimitriadis voit trois thèmes clés que les entreprises peuvent étudier à partir d’aujourd’hui :

Forme le personnel : le personnel en place devrait être mieux formé, en particulier dans le domaine de la tech. Tout le monde n’a pas besoin de se spécialiser en informatique, mais la formation aux compétences fondamentales liées à la cybersécurité et à la confiance numérique aide grandement.
Accent sur la réponse : les incidents sont inévitables. Il faut se concentrer sur la réponse en cas de problème et penser aux services gérés (« managed services »). Avec un plan d’intervention efficace, on peut reprendre ses activités rapidement après un incident.
Partenaires : analysez la chaîne logistique et veillez à ce que vos partenaires coopèrent avec vous. Une certification adéquate des fournisseurs et des clauses de responsabilité dans les contrats peuvent déjà instaurer la confiance. En choisissant des partenaires, il faut tenir compte de la cybersécurité immédiatement.

À l’avenir, il faut bien sûr recruter davantage de personnes qualifiées. Selon Dimitriadis, la formation des personnes qui travaillent aujourd’hui dans l’entreprise joue un rôle important à cet égard. « Mieux les gens sont formés aux principes fondamentaux de la sécurité, mieux ils peuvent faire le lien entre la cybersécurité et l’impact sur la valeur de l’entreprise. »

Subvention pour la sécurité

Il pense aussi que les gouvernements jouent un rôle important. « Le gouvernement devrait investir davantage dans la cybersécurité et peut-être considérer de subventionner le coût de la sécurité numérique. Cela vaut certainement pour les petites entreprises. Pour elles, la sécurité est rarement une priorité absolue quand elles essaient simplement de survivre. »

Le gouvernement joue déjà un rôle, notamment avec NIS2. Il existe des règles pour renforcer la cyber-résilience de l’Europe. Cela implique que des entreprises sécurisées sont un facteur important de la construction d’une société sécurisée. Compte tenu de l’intérêt public, les arguments en faveur des subventions ne sont pas si absurdes.

La pénurie de personnel informatique qualifié ne sera pas résolue en une nuit. L’évolution fulgurante du paysage technologique signifie que, malgré la croissance, la réserve de talents compétents est insuffisante pour l’instant. Et n’attendez pas que cette cadence effrénée ralentisse pour autant. Grâce au lancement de l’IA générative l’année dernière, les applications numériques sont vraiment omniprésentes. Que faire alors en tant qu’entreprise ? Juste une bonne optique, combinée à des connaissances plus basiques concernant la technologie et la sécurité, peuvent déjà aider grandement.

retour à la maison

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.