Rechercher, embaucher et retenir les meilleurs talents en cybersécurité a toujours relevé du défi. Mais l’intensification des cybermenaces, tant en nombre qu’en sophistication, rend ces tâches plus difficiles que jamais.

Les environnements de sécurité des informations gagnent en complexité pour tenter de répondre à la rapide évolution du paysage des cybermenaces, avec des ramifications étendues : les récentes failles apparues chez Target et Sony Entertainment notamment ont provoqué des démissions de collaborateurs de haut niveau, la faute étant imputée aux dirigeants. Or, dans un contexte de concurrence exacerbée vis-à-vis des compétences les plus recherchées et de forte rotation des postes dans la cybersécurité, il devient plus difficile que jamais de parvenir à déceler – et à conserver – les meilleurs talents.

“C’est l’une des principales difficultés que rencontrent les responsables de la sécurité : identifier les capacités manquantes en termes de personnel, de processus et de technologie” explique Andrzej Kawalec, Chief Technology Officer (Directeur technique) de Hewlett Packard

Enterprise (HPE) Security Services. Il indique en effet “qu’une organisation dépourvue de la juste combinaison de ces ressources ne peut apporter une réponse efficace au cyber-risque.”

Le combat pour trouver le candidat idéal à embaucher, perfectionner et conserver pèse sur les épaules des directeurs de la sécurité des informations (CISO) et des cadres en général. Dans une enquête réalisée en février 2016 par MIT Technology Review Custom en partenariat avec HPE et FireEye, près de 40 % des personnes interrogées estiment que le manque d’expertise interne constitue leur problème numéro un du point de vue de la sécurité des informations.

Dans cette même enquête, moins de 6 % des 225 dirigeants et responsables informatiques interrogés pensent que leur organisation est “très bien préparée” à répondre à une faille de sécurité impliquant une perte majeure d’informations.

Parallèlement aux efforts qu’ils déploient pour consolider leurs équipes de sécurité, les CISO sont aux prises avec des responsabilités beaucoup plus larges que par le passé, où les responsables

Pallier la pénurie de talents, assurer le futurLe manque de compétences internes en cybersécurité constitue une problématique majeure pour les cadres, qui craignent que leurs organisations soient insuffisamment armées pour prévenir, détecter et contrer les cyberattaques. Dans ce contexte, nombre d’entre eux se tournent vers des partenaires externes spécialisés dans la sécurité.

40%Pourcentage des dirigeants d'entreprise et responsables informatiques interrogés citant le "manque d'expertise interne" comme leur principal problème du point de vue de la sécurité des informations

Source: Cybersecurity Challenges, Risks, Trends and Impacts Survey, (Enquête relative aux problématiques, risques, tendances et impacts de la cybersécurité), MIT Technology Review Custom en partenariat avec Hewlett Packard Enterprise Security Services et FireEye Inc.

1

Le défi de la cybersécurité MIT Technology Review Custom

par MIT Technology Review Custom en partenariat avec Hewlett Packard Enterprise Security Services et FireEye Inc.

de la sécurité informatique étaient chargés de la technologie et des systèmes. Leurs missions recouvrent à présent des tâches extrêmement lourdes, comme la recherche des meilleurs professionnels à qui confier des postes hautement spécialisés et critiques, à l’instar des experts en criminalistique.

Constituer une équipe de cybersécurité résiliente“Désespoir.” C’est le terme qu’emploie Andrzej Kawalec pour résumer l’état d’esprit des organisations à la recherche de talents en cybersécurité. La plupart des DRH éprouvent des difficultés à pourvoir les postes disponibles, confrontés au manque de candidats expérimentés et formés pour affronter des menaces en constante évolution et des attaques de plus en plus sophistiquées. “La demande est largement supérieure à l’offre” déclare Andrzej Kawalec. “Les équipes internes ne parviennent pas à s’adapter au rythme ni au type de changement nécessaire pour répondre aux cyber-risques que connaissent les organisations à l’heure actuelle.” Dans ce contexte, la pénurie de talents perturbe, ou menace de perturber, les opérations de sécurité de nombreuses organisations à travers le monde.

“Ces organisations doivent concevoir des environnements “cyber-résilients”, avec des équipes de sécurité en mesure de croître et de s’adapter au fur et à mesure de l’évolution du monde” ajoute Andrzej Kawalec. Pour cela, elles doivent embaucher les professionnels de la sécurité les plus recherchés, bien souvent avec des packages intégrant salaire élevé et avantages, ou travailler en collaboration avec des partenaires

experts capables de les aider à pallier le déficit de compétences qu’elles ne peuvent pas résoudre par elles-mêmes.

La réalité : plus de 209 000 postes dans la cybersécurité sont restés non pourvus en 2015 aux Etats-Unis, tandis que les offres d’emploi dans le même cas ont atteint 74 % de 2010 à 2015, d’après une analyse des données de l’office américain des statistiques sur l’emploi, réalisée par Peninsula Press, un projet du programme de journalisme de Stanford. Cette analyse révèle que la demande en postes liés à la sécurité devrait augmenter de 53 % d’ici 2018.

“Plus longtemps ces postes restent vacants, plus vous attendez pour constituer votre équipe et plus le désespoir vous gagne” déclare Andrzej Kawalec.

Plus de 50 % des personnes interrogées dans le cadre de l’enquête de MIT Technology Review indiquent que leurs organisations ne disposent pas des compétences adéquates en criminalistique pour diriger des “équipes de chasse”. “Nous parlons de personnes capables d’effectuer un type de recherche digne de Sherlock Holmes autour d’une faille ou d’une attaque. Ce n’est pas le genre de compétence que l’on peut acquérir deux ans après être sorti de l’université” explique Andrzej Kawalec. Ces compétences essentielles, parmi lesquelles la réponse aux incidents, la surveillance et la gestion des risques, s’enrichissent avec l’expérience.

Mettre en place des déroulements de carrière autour de la cybersécuritéS’il est difficile de trouver les bons collaborateurs dotés des compétences, de l’expertise et de l’expérience adéquates, il s’avère tout aussi problématique de les perfectionner et de faire en sorte qu’ils demeurent mobilisés et restent dans votre équipe. Les talents de haut niveau en sécurité ont souvent une durée d’emploi relativement courte, 18 mois tout au plus d’après Andrzej Kawalec.

Dans un contexte de concurrence exacerbée vis-à-vis des compétences les plus recherchées et de forte rotation des postes dans la cybersécurité, il devient plus difficile que jamais de parvenir à déceler — et à conserver — les meilleurs talents.

2

Le défi de la cybersécurité MIT Technology Review Custom

“Toutefois, une organisation en mesure de proposer un déroulement de carrière spécifique à la cybersécurité doit disposer d’un avantage pour parvenir à garder en son sein les meilleurs professionnels” indique Chris Leach, Technicien-spécialiste en chef chez HPE. “Vous ne pouvez pas vous contenter de proposer un déroulement de carrière générique des RH ; il convient de disposer d’un plan précis dédié à la cybersécurité” poursuit Chris Leach, lui-même ancien CISO en interne. “Faire miroiter un poste convoité, par exemple au sein de l’équipe de chasse, est un moyen d’inciter vos meilleurs collaborateurs à rester.”

Par ailleurs, le recrutement de talents demande avant tout une certaine dose d’ouverture d’esprit et de créativité. L’équipe de cybersécurité idéale regroupe des membres possédant un bagage non traditionnel. Il est, par exemple, arrivé à Chris Leach d’embaucher un joueur de poker professionnel qui conjuguait un instinct développé et une ténacité hors du commun, en tant qu’analyste en sécurité. “C’était l’un des meilleurs” déclare Chris Leach.

Etre détenteur d’un diplôme universitaire en informatique n’est pas l’unique façon d’intégrer le domaine de la cybersécurité. Comme le note Chris Leach, “Le candidat idéal peut très bien être issu de l’armée ou de la police. Il n’existe, à mon sens, aucune recette pour définir le collaborateur parfait. Le manque de compétences nous contraint à élargir notre champ de recherche.”

“L’expérience en informatique à elle seule ne garantit pas l’excellence du leadership de la

sécurité des informations” explique Grady Summers, Directeur technique et Vice-président senior de FireEye Inc., société internationale spécialisée dans la cybersécurité. “Certaines organisations pensent qu’une personne qui a occupé des postes importants dans le domaine de l’informatique peut diriger une équipe de sécurité à condition de disposer d’experts techniques” poursuit Grady Summers. “Bien que ce principe se vérifie dans certains cas, il aboutit le plus souvent à un échec.”

“Les emplois dans le domaine de la cybersécurité font également appel à différentes fonctions et disciplines” ajoute Grady Summers. “Certaines personnes dotées d’une grande expertise de la sécurité suivent des cours de droit ou de psychologie, ou apprennent de nouvelles langues, pour s’améliorer dans leur travail. De solides connaissances techniques sont toujours indispensables, mais les professionnels en la matière savent que la sécurité concerne avant tout les personnes, pas simplement les ordinateurs.” Pour réussir sa carrière dans la sécurité, un salarié doit savoir travailler en étroite collaboration avec d’autres fonctions de l’entreprise, qu’il s’agisse des RH, du service juridique, des relations publiques ou du marketing.

Le secteur de la cybersécurité dans son ensemble souffre d’un manque d’enseignement et de formation spécialisés. “Il manque un enseignement ciblé, de qualité, pour préparer les gens à travailler de façon spécifique dans la cybersécurité” déclare Andrzej Kawalec. Dans cette optique, HPE a établi un partenariat avec l’université de Coventry au Royaume-Uni afin de proposer un MBA orienté cybersécurité. Le programme constitue une réponse directe à l’accroissement de la demande de formation de responsables de la sécurité “capables de travailler avec leurs homologues au niveau de l’encadrement” indique Jason Ferdinand, directeur des cours de l’université. Des programmes diplômants du même type émergent également ailleurs. Aux Etats-Unis, les établissements Florida Institute of Technology, Excelsior College, Concordia University et St. Paul font partie des écoles proposant des programmes combinés cybersécurité–MBA.

“Le candidat idéal peut très bien être issu de l'armée ou de la police. Il n'existe, à mon sens, aucune recette pour définir le collaborateur parfait. Le manque de compétences nous contraint à élargir notre champ de recherche.” — Chris Leach, Chief Technologist (Technicien-spécialiste en chef),

HPE Security Services

53%Pourcentage attendu de hausse de la demande en emplois de cybersécurité d'ici 2018

Source: Peninsula Press/Etats-Unis Bureau of Labor Statistics

3

Le défi de la cybersécurité MIT Technology Review Custom

Le partenariat, une solution à envisager pour pallier la pénurie Confrontées à la difficulté de trouver des talents en cybersécurité et à une situation qui ne saurait s’améliorer dans un futur proche, la plupart des organisations font appel à des partenaires externes pour renforcer leurs capacités internes. Chris Leach rappelle effectivement qu’il a souvent eu recours à des tiers pour renforcer son équipe lorsqu’il assurait lui-même la fonction de CISO en interne.

“Un partenaire de confiance apporte des capacités renforcées, que l’on ne peut pas se permettre de développer en interne” indique Andrzej Kawalec. “Vous devez disposer d’une équipe dotée d’une formation spéciale, qui effectue ce travail au quotidien et vous apporte un regard expert au moment où vous en avez besoin.”

HPE et FireEye sont spécialement équipés pour proposer ce type d’assistance rapide de terrain. Avec plus de 5 000 spécialistes en cybersécurité et 10 centres d’opérations de sécurité répartis dans le monde, apportant leur concours à plus de 10 000 clients implantés dans 60 pays, le partenariat noué par les deux sociétés procure un niveau d’expertise en cybersécurité inégalé aux organisations de tous pays, et leur permet de bénéficier de l’expertise qui fait défaut à leurs équipes internes.

“Les attaquants font peser une menace active, continuelle et dynamique en tentant délibérément de voler des documents et des éléments de propriété intellectuelle, alors que la plupart des organisations ne peuvent assumer l’investissement en personnel nécessaire pour combattre ces menaces” explique Andrzej Kawalec. “Tout ceci s’apparente à une course à l’armement. Transférez cette charge sur nous et bénéficiez du niveau de protection que nous assurons.”

Pour de plus amples informations sur l’apport de la transformation numérique à votre cybersécurité, découvrez ce site Web des ressources HPE–FireEye.

A propos de MIT Technology Review Custom

MIT Technology Review Custom produit des solutions de classe mondiale pour événements en direct, en ligne et d'impression, qui hissent les clients au niveau d'une marque bénéficiant de 116 ans d'existence. www.technologyreview.com/media

Copyright © 2016, MIT Technology Review. Tous droits réservés.

“De solides connaissances techniques sont toujours indispensables, mais les professionnels en la matière savent que la sécurité concerne avant tout les personnes, pas simplement les ordinateurs.” — Grady Summers, Chief Technology Officer (Directeur technique) et

Senior Vice President (Vice-président senior), FireEye Inc.

4

Le défi de la cybersécurité MIT Technology Review Custom