Les grands défis des professionnels de la cybersécurité en entreprise

Openspace bureaux ordinateurs
© Israel Andrade via Unsplash

Pour les PME, il n’est pas toujours évident de s’emparer des enjeux de cybersécurité. Salaires élevés, burn-out en cascade et compétences mouvantes : le quotidien des responsables cyber n’est pas toujours facile à conjuguer avec celui des petites sociétés.

Déjà une pénurie de talents

La première difficulté pour les PME qui voudraient recruter des experts en cybersécurité, c’est que les profils viennent – déjà – à manquer. Kévin Chedozeau, patron de Guardia Cybersecurity School, s’aperçoit que pour 100 étudiants formés, ce sont 1 000 offres d’emplois qui les attendent à la sortie. « À l’horizon 2025, nous pouvons nous attendre à une pénurie de 500 000 talents en Europe », prédit-il.

En cyber, c’est la taille qui compte

La pénurie de talents s’accompagne nécessairement d’une augmentation des salaires. Les grosses entreprises ont les moyens d’allouer plus de budget au sujet. Pour les PME, c’est plus compliqué. Pourtant, comme le rappelle Kévin Chedozeau, « les entreprises satellitaires qui travaillent avec les grands groupes sont autant de portes dérobées auxquelles les hackers peuvent accéder. »

Toujours un train de retard ?

Pas toujours facile d’imaginer les cyberattaques de demain. La conséquence, c’est qu’il est quasiment impossible de savoir quelles seront les compétences requises par les experts en cybersécurité pour les contrer. « C’est le côté un peu pervers de la chose. Nous formons les étudiants en leur donnant les meilleures compétences techniques et non techniques pour qu’ils soient opérationnels, mais nous ne sommes pas devins. Tout en étant visionnaires, nous ne pouvons pas prédire de quoi sera faite la cybersécurité demain. La cybersécurité progresse plutôt en réaction qu’en anticipation », admet Kévin Chedozeau. 

Obsolescence programmée

Pour pouvoir rester dans la course, il est donc indispensable de se former en continu. L’autonomie fait d’ailleurs partie des 3 « soft skills » les plus recherchés dans la cybersécurité, aux côtés de la maîtrise de l’anglais et de la rigueur. Savoir se tenir au courant, veiller, se former… la cybersécurité est en mouvement perpétuel, et il est important de renouveler ses compétences. « Les entreprises doivent en avoir conscience : leurs équipes informatiques doivent dédier un temps important à l’évolution de leurs métiers. C’est un temps en-dehors de l’opérationnel, et c’est parfois dur à comprendre pour les employeurs. »

Place aux purple teams

Traditionnellement, dans la cybersécurité, il existe deux « teams » : la red team, et la blue team. La red team est composée de hackeurs éthiques ou de pentesters dont l’objectif est de détecter et éliminer les vulnérabilités en imitant le rôle des attaquants. Exploitation de vulnérabilités, ingénierie sociale… Les simulations d’attaques doivent permettre aux entreprises de s’assurer de la qualité de leurs systèmes de sécurité. À l’autre bout du prisme, la blue team doit améliorer les mécanismes de défense de l’entreprise à l’aide d’audits réguliers, de rétro-ingénierie, ou de l’élaboration de scénarios à risque. De plus en plus, Kévin Chedozeau constate que l’on demande aux équipes de maîtriser l’ensemble du spectre. « Cela donne lieu à la naissance de ‘purple teams’, et donc d’experts encore plus difficiles à trouver. »

Stress et burn-out

Les chiffres ne manquent pas pour montrer le stress que subissent au quotidien les responsables de la sécurité des systèmes d’information (RSSI). Dans une étude de février 2022, l’éditeur de logiciels américains Nutanix notait que 84% des responsables informatiques situés dans la zone EMEA se sentaient « sous pression ». En 2021, l’Agence nationale de la sécurité des systèmes d’information (Anssi) réalisait une enquête de grande envergure auprès des professionnels de la cybersécurité. Ils étaient 63% à estimer que leur métier était « stressant ou très stressant ». Rien d’étonnant, d’après Kévin Chedozeau. « Personne ne serait choqué qu’un directeur financier estime son travail stressant. En termes de responsabilité, ce que doivent supporter les RSSI est équivalent. La différence, c’est qu’un directeur financier a plusieurs personnes dans son équipe et qu’il est écouté en comité de direction. La question n’est pas de savoir si les tâches confiées sont trop importantes, mais si les moyens techniques et humains mis à disposition sont suffisants. »

Enjeu de management

Pour résoudre ces difficultés, Kévin Chedozeau préconise la formation et le recrutement d’experts à la fois techniques et non-techniques de la cybersécurité. « Ce sont des profils qui doivent savoir communiquer, qui ont une culture business et qui savent vulgariser les enjeux cyber. Auprès des autres équipes, mais aussi des dirigeants », précise-t-il. D’après lui, c’est en initiant un dialogue stable que les dirigeants sauront mesurer les coûts et les bénéfices d’une stratégie de cybersécurité bien menée, mais aussi mieux encadrer les équipes informatiques.

à la Newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.