Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Cybersécurité : l’humain avant la technicité
Toujours plus de technicité, de compétences multiples. Et l’humain ? Il est au coeur de la cybersécurité, estime Cédric Desmet (*) du cabinet Robert Half.
° Pour 34% des CIO belges, un sur trois donc, la cybersécurité est une priorité absolue en 2021. La cybersécurité, d’ailleurs, devance l’automatisation et la gestion des talents. Faut-il y voir une conséquence de l’évolution de nos modes de travail ?
Cédric Desmet : «Assurément… Surfaces d’attaque accrues, environnements plus informels et recrudescence des menaces sont autant de facteurs qui y ont contribué. Si certains estiment que notre cadre de travail actuel est plus vulnérable, d’autres font remarquer que les entreprises s’améliorent en matière de prévention des attaques. La vérité se situe sans doute quelque part entre ces deux affirmations, mais personne ne peut nier que le cyber-risque inhérent a augmenté.»
° Selon Gartner, la cybersécurité -plus généralement la sécurité de l’information- dépassera les priorités en matière de dépenses informatiques en 2021, à savoir l’intelligence d’affaires et les solutions cloud. Partagez-vous ce point de vue ?
«Que le cyber-risque ait augmenté, tout le monde en convient. Notre environnement de travail est beaucoup plus vulnérable aujourd’hui qu’avant la crise, mais il est également important que les entreprises s’améliorent dans la prévention des attaques… Est-ce vraiment leur priorité ? L’urgence, je pense, n’est pas là. Je rencontre davantage d’entreprises en phase de reconstruction. Aujourd’hui, la majorité des efforts tourne autour de la réorganisation du travail…»
° Cette réorganisation est pourtant conditionnée à la sécurité…
«De fait. Mais, pour nombre d’entreprises, la sécurité est secondaire. Sans drame… pourquoi investir ? Je caricature, mais à peine. Une solution de Business Intelligence générera de la valeur, pas un firewall ! J’observe aussi une méconnaissance des métiers de la cybersécurité. On les considère -de façon réductrice- sous l’angle de la technicité, alors qu’ils embrassent un ensemble très large de compétences.
«Les cyber-spécialistes qui peuvent traduire les connaissances souvent très techniques en informations compréhensibles, même pour les profils moins techniques, peuvent faire en sorte que les organisations soient mieux informées des risques et des menaces… Comprendre le problème, nous le savons bien, est le début de la solution !»
° N’est-ce pas une question de statut ?
«Absolument ! Les profils de sécurité figurent dans le top 5 des priorités de recrutement des CIO. Les bons profils réussissent non seulement à gérer les menaces en ligne, mais aussi à vulgariser les cyber-risques afin que toute l’entreprise, en particulier la direction, puisse comprendre.
«Il est important que ces cyber-spécialistes internes ne se concentrent pas uniquement sur les grandes cyber-attaques, mais prennent également en compte les petites attaques telles que le phishing. Même les attaques les moins impactantes peuvent mettre en danger des informations sensibles.»
° Finalement, qu’est-ce qu’un expert en cybersécurité ?
«Bonne question ! La cybersécurité elle-même regroupe un ensemble de connaissances pas toujours bien définies. Le domaine englobe des sous-domaines tels que l’analyse des logiciels malveillants, les tests d’intrusion, l’analyse de codes, le renseignement sur les menaces, l’évaluation des risques, la conformité, la cryptographie, la surveillance des réseaux ou encore la réponse aux incidents…
«Qui plus est, l’expertise exige de solides bases dans d’autres domaines connexes, notamment en développement de logiciels, en architecture applicative, architecture de l’information ou visualisation des données. Et comme si cela ne suffisait pas, elle requiert parfois aussi des connaissances dans des domaines tels que la psychologie comportementale, les méthodes statistiques, le droit ou la communication de crise, voire la géopolitique...»
° Aucune formation ne peut couvrir efficacement tout cela en un seul cursus ! Ne s’agit-il pas, plutôt, d’un chemin de carrière, sans compter que pour un même candidat, les besoins d’une organisation pourront varier en fonction de sa stratégie, son architecture de sécurité et du point de vue du responsable du recrutement ?
«De fait. Cela signifie, aussi, que même les spécialistes expérimentés doivent être prêts à faire preuve d’humilité, développer plutôt telle ou telle compétence en fonction des besoins de leur employeur, tout en continuant à en acquérir constamment des nouvelles pour la suite de leur carrière.
«Il faut nourrir un profond intérêt pour la notion de sécurité. C’est même le plus important. Si cette passion pour les concepts de sécurité est présente, tout le reste peut s’apprendre. C’est pourquoi plutôt que de chercher des candidats clés en main, il est valorisant de cultiver les compétences pratiques chez les personnes qui se signalent comme étant intéressées par la sécurité, dans son acceptation la plus large.
«Enfin, je constate que bon nombre de cadres exécutifs n’ont pas d’idée précise de la politique de sécurité informatique au sein de leur entreprise, de sorte que les CISO et autres cyber-leaders au sein d’une organisation doivent assumer des rôles de plaidoyers voire de formateurs afin de développer le potentiel de leurs équipes. La cybersécurité ne se limite pas au département informatique, mais concerne plusieurs départements. Il est donc important que toute l’entreprise soit impliquée et que chacun sache ce qui se passe en interne…»
(*) Cédric Desmet, Associate Director, Robert Half