Ma principale mission est de développer des technologies capables de renforcer la sécurité des entreprises. Mais récemment, il m’est apparu que nos solutions, aussi puissantes soient-elles, ne sont pas exploitées au summum de leurs capacités. Et la carence des profils et talents en matière cybersécurité y est sans doute pour quelque chose.
« Des technologies intelligentes de cybersécurité ne peuvent remplacer la prise de décision humaine qu’en tant que filtre initial. »
Michael Xie, fondateur, President et CTO, Fortinet
Cette pénurie est mondiale et nous en sommes à un stade où la formation des ressources humaines à la cybersécurité est devenue un réel défi à relever. Comme le souligne Frost & Sullivan, le besoin en compétences humaines s’accentue pour différentes raisons :
- Des cybermenaces de plus en plus sophistiquées et persistantes – La sophistication des cybermenaces va de pair avec le détournement des informations sensibles, de valeur. Ces menaces sont persistantes, actives sur une longue durée. Le cybercriminel doit éviter de se faire détecter, et adapter son comportement en cas de détection, pour poursuivre son exaction ou la postposer dans l’attente de meilleures conditions. L’identification des piratages et de leur degré de sévérité exige d’être en permanence sur le qui-vive et de disposer d’une expertise pointue. Le talent, le savoir-faire et le temps sont nécessaires à une prise en charge complète des exactions identifiées.
- Un périmètre informatique élargi – La prolifération des dispositifs mobiles en environnement professionnel ainsi que l’adoption croissante des services Cloud, contribuent à élargir le périmètre à protéger et constitue un réel défi.
- Toujours plus de technologies de sécurité – La furtivité des menaces et l’élargissement du périmètre informatique à protéger exigent des technologies de nouvelle génération pour renforcer et compléter l’arsenal de sécurité en place. Les équipes de sécurité doivent disposer de nouveaux outils pour consolider leur propension à neutraliser la menace.
- Des menaces émanant de l’interne – Les erreurs de configuration et autres oublis sont et seront toujours d’actualité. De leur côté, les utilisateurs continueront à commettre des erreurs.
Des mesures s’imposent pour pallier cette carence de compétences et profils en cybersécurité.
De nombreuses organisations ont conçu des technologies d’apprentissage machine et d’automatisation qui tentent de se substituer à l’homme pour exécuter les analyses nécessaires. Il s’agit de miser sur l’intelligence artificielle pour identifier et neutraliser les menaces de sécurité.
De plus, je pense que notre secteur continuera à se focaliser sur des technologies qui permettent aux entreprises de déployer une sécurité à moindre implication humaine. Les services de sécurité dans le Cloud en sont un bon exemple : ils protègent les PME aux ressources limitées en sécurité et leur apportent la visibilité nécessaire. De telles orientations n’élimineront pas le facteur humain, à savoir les professionnels de la sécurité. Des technologies intelligentes de cybersécurité ne peuvent remplacer la prise de décision humaine qu’en tant que filtre initial. Au final, intelligence artificielle et neurones humains vont de pair, sauf à accepter que les entreprises soient toujours plus nombreuses à souffrir des impacts liés aux erreurs d’une cybersécurité défaillante. Les tâches de sécurité ne seront pas exécutées de manière optimale, aboutissant à des vulnérabilités plus importantes et une sécurité qui pèche en efficacité.
La pénurie de professionnels accélérera la consolidation du secteur
Du côté des fournisseurs de technologies de sécurité, nous pouvons nous attendre à une consolidation du marché à court terme. La pénurie des professionnels en cybersécurité est un lourd défi pour les éditeurs et constructeurs mineurs qui souhaitent pérenniser leurs technologies et étoffer leurs équipes : une réelle incitation donc à fusionner avec des acteurs de plus grande envergure.
Pour former les talents d’aujourd’hui et de demain, toutes les parties prenantes du marché de la cybersécurité doivent se regrouper : les fournisseurs de technologies bien sûr, mais aussi les gouvernements, le législateur, les organismes de formation, les fournisseurs de services et les utilisateurs finaux. Il s’agit de se concerter pour définir et mettre en œuvre des modules de formation pertinents, assurer le transfert de connaissance, disposer de financements adéquats et mettre en place des programmes de stage et d’apprentissage. Fortinet mène déjà ses réflexions et actions sur ces sujets et ne peut qu’encourager ses homologues et les parties prenantes du secteur de la sécurité à en faire de même.
