Comment remédier au manque de compétences en cybersécurité
Internet sous-tend une grande part du fonctionnement de la société actuelle. Fin 2021, Internet comptait plus de 4,9 milliards d’utilisateurs, soit 63 % de la population mondiale, et le temps quotidien moyen passé en ligne était de 170 minutes.
Malgré toutes les contributions positives qu’Internet apporte à nos vies et à notre travail, certains choisissent de l’utiliser à leurs propres fins malveillantes. Les cyberattaques se multiplient à un rythme exponentiel, menaçant des infrastructures, des secteurs d’activité et des gouvernements tout entiers. Les statistiques récentes concernant la cybersécurité citées par Fortinet montrent une augmentation considérable de l’utilisation des logiciels malveillants (en hausse de 358 %) et des rançongiciels (en hausse de 435 %) en 2020, et des augmentations du même ordre pour d’autres types d’attaques courants.
Tout un secteur s’est développé pour nous défendre contre la cybercriminalité, pour protéger nos données, notre intégrité et notre travail. Pourtant, nous subissons une pénurie persistante de professionnels qualifiés pour répondre aux 2,72 millions d’offres d’emploi en cybersécurité dans le monde. Alors que la cybercriminalité continue de proliférer et est un problème universel, comment pouvons-nous remédier à ce manque ? Il va falloir diversifier les initiatives de recrutement, investir dans d’autres voies, recruter des talents différents de ceux traditionnels et adopter de nouveaux modes de pensée.
La cybersécurité pour tout le monde et par tout le monde
Comme la plupart des secteurs commencent à s’en rendre compte, une réussite durable dépend en grande partie de la diversité, et il en va de même pour l’avenir de la cybersécurité. Non seulement les acteurs actuels à l’origine des menaces sophistiquées sont très divers en matière de géographie et de motivations, mais ils viennent également d’horizons économiques variés, sont de genre et d’origine ethnique différents et ont des fonctionnements cognitifs hétérogènes. Afin de comprendre et de combattre efficacement nos adversaires, nos équipes de sécurité doivent être à l’image de ces communautés : l’intégration d’un ensemble diversifié de professionnels nous permet à tous de mieux nous défendre contre les menaces.
Les effectifs diversifiés sont également plus créatifs et, grâce à l’ajout de nouveaux points de vue différents, les équipes de sécurité défensive sont mieux placées pour devancer les cyberattaquants.Nos défenses sont ainsi en mesure d’apporter des perspectives nouvelles et diverses sur le terrain. Il peut s’agir de femmes (qui ne représentent encore qu’un quart du vivier de talents en cybersécurité), d’anciens combattants, d’étudiants, de groupes économiquement défavorisés et de personnes en reconversion professionnelle.
L’idée selon laquelle un individu doit avoir des compétences techniques pour réussir dans un poste de cybersécurité peut dissuader les gens d’envisager une carrière dans ce domaine. Cette idée courante est pourtant fausse. Les compétences opérationnelles sont également essentielles : résolution de problèmes, pensée analytique, communication, établissement de relations et curiosité. Toutes ces compétences peuvent permettre de réussir dans le domaine. Non seulement ces préjugés nuisent à la diversité, mais ils peuvent également entraver la capacité d’une organisation à se défendre contre une attaque.
Changement des mentalités dans notre secteur d’activité
Afin de relever ces défis, il est important que nous modifiions nos méthodes de recrutement et les profils que nous recherchons. Cela comprend l’embauche de talents différents de ceux considérés comme traditionnels et de personnes possédant des qualités diverses qui correspondent à celles nécessaires dans la cybersécurité.
La population d’anciens combattants, par exemple, est souvent familière des compétences de leadership, de travail d’équipe et de réflexion stratégique, indispensables à la réussite d’une carrière dans la cybersécurité. Environ 200 000 militaires quittent chaque année l’armée américaine pour retourner à la vie civile. Il suffirait de lever les obstacles relevant du réseautage et des diplômes pour que cette population puisse rejoindre les rangs des entreprises technologiques et ainsi faire une différence notable, que ce soit à la fois dans le manque de compétences en cybersécurité et dans le taux de chômage des anciens combattants.
Les organisations peuvent également envisager de former leurs propres employés pour qu’ils deviennent des experts en cybersécurité en investissant dans des reconversions et en se tournant vers du personnel qui n’est habituellement pas impliqué dans l’informatique. Le domaine de la sécurité (dont les rôles dans la communication et l’habilitation, l’ingénierie, la sensibilisation, les opérations, la gouvernance, les risques, la conformité, la gestion des programmes et des produits, le personnel de sécurité offensive, etc.) a besoin de personnes capables de travailler en équipe, de personnes dotées de compétences techniques et non techniques, et d’employés dont les compétences sont transférables. Ce secteur propose une myriade de parcours professionnels.
Soyez de la partie
Dès le plus jeune âge, il existe des activités périscolaires amusantes, accessibles et stimulantes qui peuvent proposer une introduction à la cybersécurité et permettre aux écoliers d’explorer de nombreux concepts par le biais d’expérimentations et d’activités ciblées. Au Royaume-Uni, le programme Cyber First du NCSC (Centre national pour la cybersécurité) en est un excellent exemple. L’académie de cybersécurité Absa en Afrique propose un apprentissage technique formel, un apprentissage pratique et par l’expérience, ainsi qu’une maîtrise personnelle et des compétences non techniques intensives et personnalisées. Fortinet, dans le cadre du White House National Cyber Workforce and Education Summit, offre une version gratuite axée sur l’éducation de son service de sensibilisation et de formation à la sécurité pour l’ensemble des localités et des systèmes scolaires des établissements primaires et secondaires aux États-Unis. Enfin, l’association The Girls Scouts of the USA s’est associée au Département de la Sécurité intérieure des États-Unis (DHS), à l’Agence de cybersécurité et de sécurité des infrastructures américaine (CISA) et à CYBER.ORG pour mettre au point un défi de sensibilisation à la cybersécurité pour les petites scouts et toutes les jeunes filles de la 6e à la terminale aux États-Unis. Ce partenariat propose en outre un cursus en cybersécurité pour les filles de tous les niveaux afin de leur enseigner ce sujet important.
Les étudiants peuvent participer à des compétitions, comme le Cyber 9/12 Strategy Challenge de l’Atlantic Council, qui accueille des équipes interdisciplinaires et se déroule chaque année dans le monde entier. Et en conséquence directe de leur participation, certains étudiants (sans diplôme ni expérience en lien avec la cybersécurité) recherchent ensuite activement des opportunités de carrière dans ce secteur.
Les étudiants peuvent également avoir la possibilité d’acquérir une expérience de terrain directe en fournissant des services d’assistance au sein de leur communauté locale, ce qui les aide à se préparer au monde du travail. Le Consortium of Cybersecurity Clinics est un consortium d’universités qui partage des bonnes pratiques. Les stagiaires Salesforce Futureforce, ainsi que les jeunes diplômés, travaillent sur de vrais projets qui touchent au fonctionnement de l’entreprise, leur donnant la possibilité d’avoir un impact tangible sur l’avenir. Fortinet dispose d’un programme de partenariat académique qui fournit aux établissements universitaires le cursus de certification et les ressources de Fortinet reconnus par le secteur pour initier les étudiants à une carrière dans la cybersécurité. Pour sa part, le Forum économique mondial a un projet inclusif de cyber talents pour accroître l’inclusivité dans le domaine de la cybersécurité grâce à leurs personnalités qui façonnent le monde, un réseau de jeunes moteurs de dialogue, d’action et de changement.
De nombreuses entreprises de cybersécurité de premier plan proposent également des services de formation à ceux qui souhaitent faire progresser leur carrière ou à des personnes d’autres secteurs qui veulent se reconvertir dans la cybersécurité. Par exemple, l’Institut de formation Fortinet propose gratuitement une vaste gamme de cours d’apprentissage en ligne à votre rythme.
Un excellent point de départ
Si vous souhaitez lancer votre propre carrière dans le domaine de la cybersécurité, le parcours de carrière en cybersécurité, créé dans le cadre de l’initiative du Centre d’apprentissage de cybersécurité en partenariat avec Salesforce, Fortinet, Global Cyber Alliance et le Forum économique mondial, est un excellent point de départ. Il fournit une base de données mise à jour régulièrement avec des informations axées sur l’évolution professionnelle, des entretiens avec des experts et des modules de formation qui permettent à chacun de tracer sa propre voie professionnelle grâce à une variété de postes en cybersécurité à forte demande. Ensemble, nous parviendrons à pourvoir ces rôles dans la cybersécurité et rendrons le monde plus sûr, un professionnel de la cybersécurité à la fois.
Cet article a été rédigé par des membres de l’équipe Centre d’apprentissage de cybersécurité :
Gill Thomas est directrice de l’engagement pour le programme de capacité et de résilience au sein de la Global Cyber Alliance (GCA). Gill a passé 20 ans dans les télécommunications et a rejoint le secteur de la cybersécurité après avoir fait une pause dans sa carrière. Elle a alors découvert que la transformation numérique alimentait les opportunités et la croissance, mais aussi une augmentation exponentielle de la cybercriminalité. Elle est devenue de plus en plus fascinée par la cybersécurité et l’impact dévastateur des cyberincidents sur les communautés mondiales. Chez GCA, elle travaille avec des partenaires du monde entier pour mener des projets qui réduisent le cyber-risque pour tous.
Melonia da Gama est directrice du marketing de l’Institut de formation de Fortinet. Elle a plus de 20 ans d’expérience dans le développement et la gestion du marketing et des communications à l’échelle mondiale pour divers secteurs d’activités, dont la sécurité des réseaux. Melonia a rejoint le secteur de la cybersécurité en 2020, forte de ses compétences transférables et des expériences acquises dans ses postes antérieurs. Elle est responsable de la promotion de tous les programmes de l’Institut de formation de Fortinet. Ces programmes ciblent les professionnels de l’informatique et de la sécurité, mais visent également à créer de la diversité dans le secteur de la cybersécurité par la mise en œuvre de programmes pour les femmes, les minorités, les anciens combattants, les étudiants et d’autres populations sous-représentées.
Seán Doyle est responsable au sein du Centre pour la cybersécurité du Forum économique mondial à Genève, en Suisse. Son travail concerne le développement des compétences en cybersécurité et les partenariats public-privé pour accroître la cyber-résilience dans des domaines tels que la banque, les paiements et les infrastructures critiques. Auparavant, Seán a travaillé une dizaine d’années dans les enquêtes sur les entreprises. Il estime que travailler dans le domaine de la cybersécurité lui permet d’avoir un large impact, aidant à protéger les individus, les communautés et les économies.
Rachel Holz est responsable de la cybersécurité, forte de plus de 25 ans d’expérience. Elle a débuté chez Salesforce en 2016 et a travaillé dans le service Sécurité et au sein de l’équipe Trailhead. Rachel a travaillé dans les ressources humaines, l’efficacité organisationnelle et l’ingénierie pédagogique. Avant de rejoindre Salesforce, elle a été conseillère en gestion d’entreprise. Elle est passionnée par son travail dans le domaine de la cybersécurité, car il lui permet de rester constamment sur le qui-vive et de mettre à profit toutes ses compétences d’une manière déterminante et pertinente.
Laura Pelkey interagit avec les clients, les partenaires et le secteur de la sécurité pour sensibiliser aux meilleures pratiques en matière de sécurité et en favoriser l’adoption. Elle travaille dans le secteur de la sécurité depuis plus de dix ans et elle a à cœur d’aider les personnes à protéger leurs précieuses données. À l’heure actuelle, Laura dirige les programmes externes de sensibilisation à la sécurité de Salesforce.