Une évaluation sert à démontrer sa compétence et son engagement envers les employeurs ou les clients.
En décidant, cet été ,d’intégrer la cybersécurité aux évaluations de performance de ses collaborateurs, Microsoft a envoyé un message fort. Comment l’entend-t-on en Belgique ? Solutions ouvre le dossier. Troisième et dernier article : l’évaluation à proprement parler.
Si Microsoft est à l’avant-garde, c’est par nécessité, estime Grégory Van Ass, CIO, Noshaq. « Par nature, son risque réputationnel est énorme, on l’a vu avec l’affaire CrowdStrike. Des acteurs de l’IT sont tombés pour moins que çà. Ils ont perdu leurs clients, se sont fait racheter à bas prix ou ont disparu. Le danger n’est pas le même pour une PME, même si… Je ne vois pas ce genre d’évaluations se généraliser hormis dans les entreprises IT et des organisations exploitant des données particulièrement sensibles. Certaines entreprises sont naturellement plus exposées. »
Maarten Keisers, Cyber Security Advisory Lead, Fujitsu, va dans le même sens. Bien que certaines entreprises belges – surtout les plus grandes ou celles qui travaillent dans des secteurs très réglementés comme la finance – prennent déjà en compte la cybersécurité dans les évaluations, cette pratique n’est pas encore répandue, affirme-t-il. « Toutefois, depuis la pandémie, la réflexion évolue. Le télétravail pose de nouveaux défis en matière de cybersécurité. De là, pour certaines entreprises, la tentation de coupler le respect de mesures de cybersécurité à des indicateurs de performance. »
NIS2, un modèle pour toutes les entreprises
Des campagnes de sensibilisation ont régulièrement lieu, orchestrées par le CCB, les banques ou les autorités au sens large. C’est bien la preuve de cette importance, mais aussi c’est bien le niveau des personnes qui est visé, note Philippe Waslet, CEO, Waslet.
« NIS2, sur ce plan, est un modèle, dont devraient s’inspirer davantage d’organisations que celles directement concernées. Son canevas pour entreprises de moins de 50 personnes n’est pas trop lourd. Il permet de formaliser de manière structurée une politique de sécurité qui dépasse le simple fait d’être attaqué de l’extérieur. » En effet, la bonne gouvernance requise par NIS2 verra mettre en place de manière formelle toutes les mesures de protection nécessaires dans le cadre des relations de travail : accès au compte, accès aux applications, fermeture de comptes, traçabilité (qui efface ou copie des données), etc… L’entreprise améliorera ainsi d’autres domaines (notamment au niveau HR) en formalisant tant les comportements que les procédures liées aux bonnes pratiques.
Contrairement au GDPR, qui génère beaucoup de documents (conditions générales de vente, contrats de travail, règlements de travail, contrats de collaboration divers, conditions d’accès aux sites internet, abonnements, etc …), mais avec peu de contrôles des autorités quant au respect, NIS2 ou le besoin de cybersécurité sera d’une certaine manière plus utile aux entreprises ; il renforcera la protection des données et sera contrôlé par beaucoup plus d’intervenants très variés : autorités, clients, fournisseurs. « D’une manière ou d’une autre, nous sommes tous concernés, analyse Philippe Waslet. Et c’est très bien !
Des quiz d’auto-évaluation aux certifications
L’un des moyens les plus simples d’évaluer ses compétences en cybersécurité est de répondre à des quiz en ligne qui testent les connaissances sur divers sujets et concepts. Il existe de nombreuses ressources gratuites et payantes. Citons CompTIA, Cybrary, Infosec Skills et SANS. C’est un bon moyen de vérifier sa compréhension des principes fondamentaux. Ou de se rafraîchir la mémoire.
Une autre façon d’évaluer ses compétences en cybersécurité est de s’inscrire à des cours et à des laboratoires en ligne qui offrent une pratique et un retour d’information. Les cours et les laboratoires en ligne peuvent aider à acquérir de nouvelles compétences, à les appliquer à des scénarios du monde réel et à obtenir des résultats et des conseils instantanés. On peut choisir parmi une variété de plateformes et de sujets qui correspondent à nos objectifs et à nos intérêts. Les plus connus : Coursera, edX, Udemy, Hack The Box et TryHackMe.
Une troisième façon d’évaluer les compétences en cybersécurité consiste à demander un examen par les pairs et des commentaires d’autres professionnels ou experts dans le domaine. Voire rejoindre des groupes, des événements ou des compétitions en ligne qui favorisent la collaboration et l’apprentissage. Meetup, OWASP, CTF et Hackathons sont les plus connus.
Pas d’outils sans « facilitateurs »
Stanislas Van Oost, CEO, Easiance, prône, pour sa part, l’usage de frameworks tels que SMART (Specific, Measurable, Achievable, Relevant, and Time-bound). « Si on considère le critère Achievable, il faut bien reconnaître que, pour les non-spécialistes, il n’est pas aisé de trouver son chemin dans l’univers assez complexe de la cybersécurité. Je dirais que si la responsabilité de l’atteinte de l’objectif est du côté du collaborateur, encore faut-il que l’organisation ait mis en place des ‘facilitateurs’ qui permettent de le réaliser… »
Enfin, une cinquième façon d’évaluer les compétences en cybersécurité est de poursuivre des opportunités de perfectionnement professionnel et de certification qui valident les compétences et améliorent votre crédibilité. « Le perfectionnement professionnel et la certification peuvent aider à se tenir au courant des dernières tendances, normes et meilleures pratiques. Ils permettent de démontrer sa compétence et son engagement envers les employeurs ou les clients », explique un spécialiste indépendant de la cybersécurité.
Il est possible de choisir parmi une gamme d’options qui correspondent à chaque niveau et à chaque domaine d’expertise. CompTIA Security+, CISSP, CEH, OSCP et CISM sont réputés. Ou utiliser des plateformes en ligne telles que Pluralsight, Skillsoft ou LinkedIn Learning. Elles permettent d’accéder à des cours et des examens qui préparent à la certification.