Comment la pénurie de talents en cybersécurité nous affecte tous

Si les événements récents ont mis une chose en évidence, c'est bien qu'aucune institution n'est à l'abri d'une cyberattaque. La fuite de données chez Target pendant les fêtes de fin d'année 2013 a enfin contraint les organisations à prendre conscience des menaces en matière de cybersécurité. Depuis, des révélations telles que l'accès par des pirates informatiques russes aux courriels non classifiés du président Obama ont poussé les entreprises et les administrations à rechercher activement des experts en sécurité expérimentés ainsi que des solutions efficaces d'analyse et de reporting en matière de sécurité.

Le fait que des pirates informatiques aient pu lire les courriels du président soulève une multitude de questions quant aux systèmes critiques que les criminels pourraient également pirater, tels que :

• Réseaux électriques
• Mesures de sécurité dans les installations gouvernementales
• systèmes d'armes

Sans surprise, face à ces préoccupations, les organisations mettent de plus en plus l'accent sur la cybersécurité. Une enquête récente menée auprès de DSI par la banque d'investissement Piper Jaffray, par exemple, a révélé que 75 % des répondants prévoyaient d'augmenter leurs dépenses en sécurité informatique en 2015. Traditionnellement, la stratégie privilégiée pour améliorer la cybersécurité consistait simplement à renforcer les effectifs du centre des opérations de sécurité (SOC). Mais cette tactique devient beaucoup plus difficile à mettre en œuvre, car talents en cybersécurité est très demandée et peu disponible.

Attirer des talents de qualité en sécurité informatique ne va pas s'arranger. En effet, une récente enquête menée conjointement par RSA Conference et ISACA auprès de responsables informatiques et de cybersécurité a révélé que 52 % des répondants estiment que moins d'un quart des candidats possèdent les compétences requises pour les postes vacants ; 53 % d'entre eux indiquent qu'il faut actuellement entre trois et six mois pour pourvoir ces postes. Qui plus est, les meilleurs talents sont généralement débauchés par des géants comme Google et Facebook. Par conséquent, si les organismes publics et privés qui gèrent les infrastructures critiques continuent de tenter de relever les défis de la sécurité en recrutant du personnel, nous serons tous confrontés à de graves difficultés.

Face à la multiplication et à la complexité croissantes des attaques, les organisations doivent abandonner la stratégie du “ recrutement massif ”. Dans un contexte de pénurie de talents, le personnel en place, et plus particulièrement le temps de ces employés, constitue désormais une ressource précieuse.  Automatisation de la sécurité aide les organisations à préserver cette ressource en permettant aux experts de consacrer plus de temps aux tâches essentielles à la mission.

Même si les politiques éducatives étaient modifiées aujourd'hui dans l'espoir de former davantage d'experts en sécurité informatique, il faudra des années avant d'en constater les effets. La pénurie de talents est une réalité et le restera dans un avenir prévisible. La question qui se pose désormais est la suivante : comment y remédier ?