La Cybersécurité : un sujet crucial, un secteur en tension

Un signe fort : la prise en compte du risque cyber dans les entreprises et les administrations s’est renforcée

Un nouveau décret publié le 8 avril 2022 précise les responsabilités des administrations dans leur cybersécurité et réaffirme : la responsabilité des ministres, de leurs directions métiers et du numérique, le rôle-clé des fonctionnaires de la sécurité des systèmes d’information, l’enjeu de la maîtrise du risque cyber et les nouvelles obligations des établissements publics. “ Il n’y avait pas rien avant, et ça ne résout pas tout. Mais c’est le signe d’un mouvement profond et de l’intérêt accordé à ce sujet ” analyse Yves Verhoeven, le sous-directeur Stratégie de l’Anssi (Agence nationale de la sécurité des systèmes d’information, le cyber-pompier de l’Etat). La Cybersécurité s’inscrit ainsi dans le registre de Défense notoire.

Du côté des entreprises, quelle que soit leur taille, si la crise a permis une accélération de la transformation digitale, elles doivent redoubler de vigilance sur la cyber-protection de leurs plateformes cloud et leurs interactions digitales. En 2021, le record en matière de cyberattaques a été atteint en termes de volumes, d’ampleur et même de sophistication. Les dépenses mondiales devraient atteindre 55,7 Md$ d’ici la fin de l’année, mais 80 % des décideurs informatiques estiment que leurs organisations ne sont pas suffisamment préparées à affronter ces menaces. Les entreprises se déclarent préoccupées à 49% par les menaces externes, une conséquence de la diffusion massive de ransomwares (étude menée en France par IDC). Leur priorité d’investissement en sécurité est ainsi de se protéger contre les attaques ciblées car, 76% ont subi des pertes de données entraînant des arrêts soit +26 points VS 2020 (source : l’éditeur Acronis). Autre conséquence subie par les entreprises : des pertes d’argent, directes et/ou indirectes avec paiement ou non de rançon aux pirates (34 % ont accepté de verser une rançon, récupérant leurs données et 3 %, malgré un paiement, n’ont pu récupérer l’intégralité de leurs données*).

Des solutions simples pour protéger son organisation

D’un point de vue opérationnel, les entreprises peuvent confier la gestion du réseau et des outils informatiques à un spécialiste de la cybersécurité pour la mise en place et la maintenance d’un pare-feu (pour sécuriser et protéger le réseau et internet), d’antispam (pour garantir que les communications puissent circuler rapidement en étant totalement protégées de tout risque d’intrusion, emails) et d’antivirus (pour lutter contre tous types d’attaques potentielles). À noter que la systématisation des sauvegardes (hebdomadaires ou mensuelles), le renforcement des tests de sauvegardes, la gestion des correctifs dans les 72 heures recommandées sont des process à intégrer et automatiser dans chaque organisation.

Don Mowbray, responsable de la technologie et du développement EMEA chez Skillsoft donne 6 conseils que je vous partage :

1. Transférer davantage de responsabilités en matière de sécurité au Développement plutôt que de créer des rôles distincts.
2. Valoriser les talents cyber en interne comme garant de la réputation de la marque
3. Prévenir (plutôt que guérir). Mieux comprendre les comportements des attaquants potentiels, qui se répètent souvent. Être informé des pratiques incitant les intrus à pénétrer dans les systèmes pour se focaliser sur les mesures de prévention et les principes de sécurité essentiels.
4. Actualiser les processus de développement Les applications et les API étant développées beaucoup plus rapidement et nécessitant souvent un codage minimal, l’intégration des tests de validation spécifiques à la sécurité au processus de développement est indispensable.
5. Perfectionner les procédures de sécurité des infrastructures hybrides Le télétravail jouant un rôle clé, la priorité doit être donnée à la sécurité des serveurs et des centres de données, ainsi qu’à la sécurisation du réseau, des données en passant par le RGPD jusqu’à la sécurité du cloud hybride. Même si le cloud public dispose d’une infrastructure de sécurité renforcée, il faut s’assurer de bien comprendre où commencent et finissent les responsabilités de chacun et quels sont les problèmes de sécurité.
6. Sensibiliser les collaborateurs aux risques cybers. Les impliquer dans le processus de protection : prévenir la consultation de sites à risques, prêter attention à ne pas ouvrir des pièces jointes dont on ne connait pas la provenance, identifier les messages d’hameçonnage…

De notre responsabilité de professionnels de l’éducation face à la pénurie de professionnels spécialisés en cybersécurité.

Interrogés sur leurs priorités stratégiques pour 2022, les DSI placent en 1ère position le maintien de la sécurité informatique des systèmes et la protection des données de l’entreprise (source : Cabinet Robert Half). Selon l’étude 2021 (ISC)² Cybersecurity Workforce Study, 2,72 millions de postes de cybersécurité dans le monde sont actuellement non pourvus et la main-d’œuvre mondiale en cybersécurité doit augmenter de 65 % pour défendre efficacement les actifs critiques des entreprises. Les métiers les plus recherchés sont : Consultant en sécurité informatique, Responsable de la Sécurité des Systèmes d’Information (RSSI), Chef de projet en cybersécurité, Architecte en cybersécurité, Analyste cybersécurité.

Ainsi, je vois l’arrivée du campus Cyber (tour de de 13 étages et de 25 000 mètres carrés à la Défense) comme une très bonne nouvelle, car depuis la création de l’École PMN je milite en ce sens : travailler de concours avec les entreprises pour orienter nos programmes en fonction de leurs besoins, bénéficier de leurs savoirs pour être au plus proche des réalités terrain et préparer au mieux l’apprentissage de nos étudiants. Les acteurs de l’éducation au sens large, doivent, tous ensemble, former les jeunes talents, accompagner la formation continue et les connaissances réseau (UNIX, Python, Java ou en science des données), valoriser la mobilité interne et soutenir l’égalité femmes-hommes lors du recrutement dans le domaine de la Cybersécurité.

Sources :

Étude menée en France par IDC

Enquête mondiale sur les pratiques de cyberprotection de l’éditeur Acronis – 6 200 répondants ont été interrogés, la moitié étant des utilisateurs et l’autre des managers IT – 2021 

Top 3 des enjeux de recrutement des Directeurs des Systèmes d’Information pour 2022 

Étude 2021 (ISC)² Cybersecurity Workforce Study