Tribune de Melissande Ludmann, Consultante Cybersécurité, Atos Cyber Services France.
Le monde de la cybersécurité nage en plein paradoxe : alors que les attaques, des plus basiques aux plus sophistiquées, font de plus en plus de dégâts et que les techniques de protection réclament un savoir-faire très avancé, les experts doivent toujours se montrer plus persuasifs et faire preuve de qualités humaines, managériales et techniques, voire plus !
Le RSSI qui murmurait à l’oreille du dirigeant
Les mesures de sécurité mises en place pour protéger un écosystème sont souvent mises à mal par des erreurs de nature humaine. Les outils de protection les plus performants risquent de se révéler insuffisants si un utilisateur télécharge une pièce jointe infectée ou si un administrateur omet de patcher une vulnérabilité connue.
Les bonnes pratiques, que ce soit pour les administrateurs ou les utilisateurs, doivent encore et toujours être promues dans les organisations. Mise à jour des systèmes, sauvegarde des données, protection des comptes à privilèges, mots de passe robustes, Wi-Fi sécurisé et vigilance constante sur les e-mails restent les premières des priorités pour les entreprises.
Mais la cybersécurité est surtout – et plus que jamais – un enjeu métier. Alors que tous les processus des entreprises deviennent interconnectés, du badge d’entrée jusqu’à la machine à café, les équipes informatiques sont saturées et n’ont pas les ressources nécessaires pour protéger l’intégralité du système d’information et l’écosystème auquel il est désormais lié. Les dirigeants doivent donner les moyens aux parties prenantes (IT, fonctions digitales, RSSI…) leur permettant de protéger le business. Malheureusement, tout comme les bonnes pratiques, les bons messages rencontrent parfois des difficultés à se frayer un chemin jusqu’au sommet de la pyramide.
Le RSSI n’est pas toujours au bon niveau hiérarchique dans les organisations. Et s’il n’a pas l’oreille attentive des décideurs, il aura du mal à se faire entendre par les métiers sur les risques qu’ils encourent.
Dans cette ère de transformation numérique accélérée, où la réussite d’une entreprise dépend de sa capacité à innover, le risque numérique n’est pas toujours compris ou accepté à son juste niveau. Les experts en cybersécurité doivent faire preuve d’un leadership extrêmement fort pour remporter les arbitrages et obtenir l’appui nécessaire pour prioriser la protection des actifs critiques.
La compétence technique seule ne suffit plus dès lors que technologie et business sont aussi profondément intriqués. Les compétences managériales, la personnalité et la capacité à repositionner les problématiques cyber dans un contexte métier deviennent cruciales.
La diversité, remède à la pénurie
Mais le paradoxe est là ! Le secteur de la cybermenace se professionnalise, le ransomware devient une solution « as-a-Service » et n’importe quel « script kiddie » sans grande connaissance technique peut aujourd’hui combiner une attaque par rançongiciel avec un DDoS (RDDoS, Ransom DDoS Attacks) pour rendre indisponible le système informatique d’une entreprise et l’inciter à payer une rançon.
Les entreprises cherchent donc avant tout à recruter des experts dotés d’un très haut niveau de qualification pour s’armer face à ces nouvelles menaces… et n’y parviennent pas ! En recherchant à tout prix (littéralement) des CV plutôt que des personnalités, elles se heurtent à la pénurie de compétences en cybersécurité. D’après les données du consortium (ISC)², il manquerait plus de 3 millions d’experts cyber dans le monde.
Les entreprises doivent revoir leurs attentes. Pas à la baisse évidemment, mais en les affinant. Il y a aujourd’hui de la place dans l’univers de la cybersécurité pour une large diversité de profils ! Certaines personnes auront les soft skills nécessaires pour piloter une stratégie de sécurité, d’autres auront la rigueur des meilleurs architectes, d’autres encore excelleront dans l’analyse de risques ou l’audit quand certains enfin cumuleront l’habileté technique et psychologique du « pentester ».
Nous avons tous ces métiers chez Atos et voyons au quotidien leurs apports chez nos clients. Nous pouvons apporter la brique manquante : RSSI « as-a-Service », experts spécialistes de l’audit de code, du reverse engineering ou du test d’intrusion, équipes d’intégration, services opérationnels managés et SOC.
Dernier point, si la cybersécurité doit se rapprocher du métier, l’inverse est également vrai. Un travail aussi important que celui de la classification des données, qui consiste à évaluer leur valeur, ne peut être fait que sous l’égide du métier. Les dirigeants devraient être les premiers à impulser ces analyses.
Il est impensable aujourd’hui d’être le dirigeant d’une entreprise et de ne pas s’impliquer dans la gestion d’un des plus importants risques.
De plus en plus d’écoles de commerce et management intègrent la dimension cybersécurité à leurs formations. Mais il suffit parfois de prendre le temps d’écouter les experts présents au sein de l’entreprise.
Il faut avoir les bonnes informations afin d’être en mesure de prendre les bonnes décisions pour se prémunir d’une attaque, mais également pour réagir très rapidement dans le cas où cette attaque surviendrait. Car le temps ne sera alors plus à la discussion !
