Comment combler le déficit de compétences en sécurité informatique ?

Il est toujours possible de débaucher un spécialiste en sécurité pour combler des lacunes à court terme. Mais seuls la sensibilisation et la pédagogie résorberont le déficit de professionnels de la sécurité informatique à long terme.

L’activé de Dell SecureWorks repose sur l’administration, par des professionnels de haut niveau, de ses centres d'opérations de sécurité et sur ses groupes d’analyse des menaces. La société, prestataire de services de sécurité managée est chargée de combler les lacunes dans les défenses de ses clients. Elle se doit donc d’avoir des collaborateurs qualifiés.

Pourtant, comme la plupart des sociétés, SecureWorks souffre de l’extrême pénurie de professionnels compétents en sécurité. Cette situation est extrêmement préoccupante : pour 20 postes ouverts dans le domaine de la sécurité, on ne compterait qu’un seul candidat compétent selon Jon Ramsey, DSI de l’entreprise.

Money

La société a déployé plusieurs stratégies pour améliorer ses chances d’attirer les bonnes personnes, à commencer par des tactiques de recrutement "dynamiques", en passant par des incubateurs de talents en interne, jusqu’à la mise en place de partenariats avec des universités.

De plus, la société offre des rémunérations plus élevées pour les compétences recherchées. Une tactique nécessaire, mais qui n’est pas à la portée de toutes les entreprises.

« Les personnes qui ont besoin de professionnels de la sécurité n’en trouvent pas, déclare Jon Ramsey. Et si la société n’est pas dans le secteur de la sécurité informatique, il est difficile de justifier un salaire élevé pour des compétences qui ne correspondent pas au coeur de métier. »

Si même une société dont le métier est la sécurité éprouve des difficultés à recruter le personnel qualifié dont elle a besoin, les sociétés des autres secteurs sont logiquement encore plus mal loties

Pénurie de talents dans la cybersécurité

James Gosler, expert en cybersécurité et ancien de la CIA, estimait que sur la seule année 2012 et pour les seuls Etats-Unis, 1.000 personnes au plus avaient les compétences nécessaires pour s’attaquer aux tâches difficiles de la cybersécurité alors que, toujours selon lui, les entreprises du pays et les services de l’État avaient besoin d’au moins 30.000 personnes pour sécuriser leurs systèmes.

 

L’organisme International Information Systems Security Certification Consortium (ISC) évalue pour sa part que les besoins en professionnels de cybersécurité compétents atteigneraient 300.000 personnes.

Les diplômés sont des “grands voyageurs” qui peuvent vous expliquer comment vole un avion mais qui s’écraseraient s’ils tenaient le manche

Alan Paller, SANS Institute

L’écart entre ces estimations ne révèle pas une incertitude sur le niveau des besoins, mais reflète plutôt une différence entre les types de postes décrits : la fourchette basse de James Gosler prend en compte les postes extrêmement techniques qui connaissent intimement les systèmes de sécurité, alors que la fourchette haute de l'ISC comprend les professionnels de la sécurité plus familiers des réglementations de conformité et qui gèrent d’autres collaborateurs en sécurité.

Quoi qu'il en soit, les entreprises ont des difficultés à trouver les experts en sécurité dont elles ont besoin. Et trop peu de diplômés sortent des écoles avec les compétences nécessaires pour répondre aux critères de postes de débutant.

« Les diplômés sont des “grands voyageurs”, indique Alan Paller, directeur de recherche au SANS Institute. Des gens qui peuvent vous expliquer comment l’avion vole, mais qui s’écraseraient s’ils tenaient le manche ».

Les écoles et les universités forment bien ces « grands voyageurs », mais, selon Alan  Paller, les profils plus techniques en sécurité se forment davantage sur le terrain qu’en salle de classe. Et comme la plupart des professionnels de la sécurité informatique développent leurs compétences sur le tas, ils sont trop expérimentés pour la majeure partie des postes de débutants.

Le secteur de la sécurité n’attendra pas que les professionnels rattrapent ce retard. Le secteur va croître de 11 % par an jusqu’en 2020, affirme W. Hord Tipton, PDG de l'ISC.

Incubateurs internes et marathons de programmation

Pour les sociétés qui ont le temps de développer en interne les compétences nécessaires en sécurité, une combinaison de volonté de se former et d’employés talentueux est une solution certes plus lente, mais plus efficace.

Si un candidat correspond à cette culture et montre une forte curiosité pour la technologie et la sécurité, l’entreprise peut développer ses autres compétences, affirme Jon Ramsey, directeur technique de Dell SecureWorks.

« L’important est de recruter les meilleurs. Une fois qu’ils sont embauchés, nous les aidons à développer les compétences dont nous avons besoin, dit-il, précisant que la société propose souvent au stagiaire d’être suivi par un employé plus expérimenté. A des fins de formation, nous pouvons faire travailler en binôme un membre inexpérimenté de l’équipe et un autre plus chevronné, les envoyer en mission et ne pas facturer le stagiaire. »

Les concours de piratage et de cyberdéfense constituent une autre manière intéressante d’apprendre aux professionnels de la sécurité des compétences plus techniques dans le cadre d’une compétition.

Aux Etats-Unis, des concours sur l’ensemble du territoire, proposés généralement aux niveaux lycée, licence-master et doctorat, contribuent également à créer la base d’une stratégie du Groupe de travail sur les cybercompétences du Conseil national de la sécurité américain, le Homeland Security Advisory Council.

En offrant aux gagnants de ces concours une bourse permettant d’accéder à une formation universitaire intensive de deux ans, l’initiative vise à augmenter le nombre de profils techniques dans un avenir proche, indique Alan Paller.

Problème, « il n’y a pas tant de candidats débutants que ça sur le marché, regrette-elle. Dans notre profession, l’essentiel des troupes se trouve au milieu. »

Supplier, emprunter ou voler

Aujourd’hui, pour parvenir à leurs fins, la plupart des entreprises débauchent des talents chez leurs concurrents, voire dans leur propre entreprise.

Quand Dom Nessi, directeur exécutif adjoint et DSI des aéroports internationaux de Los Angeles, a pris la responsabilité de la sécurité informatique en 2007, son service, qui gère les opérations de l’aéroport LAX, n’avait pas d’équipe dédiée à la sécurité informatique.

En 2008, Dom Nessi a recruté un directeur de la sécurité qui a fait venir deux autres professionnels de la sécurité d’un autre service. « J’ai dû les débaucher du service informatique de la ville de Los Angeles, et ils me le rappellent à l’envie », dit-il.

De telles pratiques répondent, au mieux, à une vision à court terme et, au pire, engagent l’entreprise dans un cercle vicieux. Pour éloigner leurs employés de la tentation du débauchage, les sociétés devraient plutôt modeler les postes appropriés à ses collaborateurs qualifiés, envisager de proposer des salaires plus élevés à leurs personnels compétents en sécurité et proposer une évolution de carrière claire, affirme W. Hord Tipton.

L’Etat « essaie de placer les personnels de sécurité informatique à des postes qui n’étaient pas prévus pour eux », indique Dom Nessi, qui donne l'exemple d’experts en sécurité exerçant sous les intitulés de « programmeur d’application » et de « spécialiste réseaux ».

Une autre solution, pour les entreprises qui n’ont pas les ressources pour recruter leur propre équipe de sécurité, est de se tourner vers le Cloud et les services managés. La sécurité des services Cloud est souvent mieux assurée que celle de la plupart des entreprises et libère les personnels de sécurité informatique de leurs tâches de gestion de ce processus métier. Les services de sécurité gérés peuvent aider les sociétés à combler leurs failles de sécurité.

« Sans le développement du Cloud, la demande aurait plus que doublé », affirme W. Hord Tipton.

Des partenariats avec l’enseignement supérieur... et une sensibilisation dès l'école ?

À long terme, les entreprises devront s’allier aux Etats et aux universités pour augmenter le nombre de candidats potentiels avec les compétences requises.

Toutefois, l’administration a ses propres difficultés. Attirés par les gros salaires du secteur privé, nombreux sont les professionnels de la sécurité qui délaissent le service public.

Quant au système éducatif, il doit être plus réactif aux besoins du secteur, affirment les experts en sécurité. Les entreprises devraient collaborer avec les universités pour conseiller les futurs diplômés et proposer des stages à ces employés potentiels.

Faute d’un bon programme de sensibilisation, les entreprises pourraient à l’avenir ne trouver personne pour pourvoir les postes des experts en sécurité informatique. Au contraire, en encourageant les étudiants et en les accompagnant, les entreprises préparent l’avenir en créant leur propre contingent et en attirant les étudiants vers cette profession.

W. Hord Tipton appelle même de ses voeux que l'on cible un public encore plus jeune. « Dès l’école, il faut apprendre autre chose que les fonctionnalités. Si vous vous contentez de faire du "convivial", peut-être vendrez-vous plus... Mais vous retirez aussi les contrôles et vérifications qui rendent l’ensemble plus sûr. »

Pour approfondir sur Cyberdéfense