Dans un rapport récent d’Accenture, les RSSI mettent en évidence l’impact de la pénurie de main-d’oeuvre sur leur posture de sécurité et les apports de l’IA dans ce domaine.
La plupart des RSSI d’entreprise auront sans doute du mal à se souvenir d’une époque sans déficit de compétences en cybersécurité, mais un rapport d’Accenture souligne l’impact de cette pénurie sur les cyberdéfenses des entreprises à l’ère de l’IA. « Seules 34 % des entreprises disposent d’une stratégie mature en cybersécurité. Elles sont encore moins nombreuses (13 % seulement) à posséder les capacités avancées nécessaires pour se défendre contre les menaces modernes liées à l’IA », indique l’étude. « La grande majorité reste exposée, mal préparée et risque de prendre du retard à mesure que les menaces liées à l’IA s’accélèrent. » Selon Accenture, le cœur du problème réside dans les contraintes de main-d’œuvre auxquelles sont confrontées la grande majorité des entreprises, au point que 83 % des responsables IT estiment que la pénurie de personnels en cybersécurité est un obstacle majeur à la mise en place d’une posture de sécurité solide. »
Les analystes du secteur et les professionnels de la cybersécurité s’accordent à dire que cette problématique observée dans l’ensemble du secteur a un impact. Mais ils pensent également que les RSSI peuvent mettre en œuvre certaines pratiques pour atténuer l’effet de cette carence. « L’insuffisance de personnel dans le domaine de la cybersécurité est réelle et persistante, et elle va bien au-delà des dynamiques de rémunération. Il s’agit d’un problème systémique qui s’est développé au fil des ans », a expliqué Kanwar Preet Singh Sandhu, responsable mondial des initiatives stratégiques pour la sécurité de l’IA chez Tata Consultancy. « Rien qu’aux États-Unis, les données récentes sur la main-d’œuvre suggèrent que le nombre de professionnels disponibles ne peut pourvoir que 83 % des postes vacants dans le domaine de la cybersécurité, alors que près de 40 % des employeurs se disent prêts à payer davantage des compétences très demandées, notamment dans la sécurité du cloud et la détection des menaces », a ajouté M. Sandhu. « Si un salaire compétitif est indispensable pour attirer les meilleurs talents, le problème fondamental reste le manque de compétences spécialisées pour se défendre contre les menaces sophistiquées d’aujourd’hui. »
L’IA au secours de la fatigue des RSSI
« Cependant, certains défis liés aux recrutements dans les entreprises sont auto-imposés », a tempéré M. Sandhu, car selon lui, les entreprises ne font pas grand-chose pour remédier à la charge de travail, et au burnout qui en résulte, qui pousse bon nombre de leurs professionnels de la cybersécurité à chercher ailleurs. Une récente enquête de l’IANS a révélé que 53 % des responsables de la cybersécurité envisageaient de quitter leur poste. « La pression et l’environnement très stressant de la cybersécurité entraînent un épuisement professionnel important, rendant même les offres compétitives moins attrayantes », a pointé M. Sandhu. « Les entreprises doivent s’attaquer à la fois au déficit de compétences et à la culture qui pousse leurs atouts les plus précieux à partir. » Pour aider à résoudre le premier problème, M. Sandhu suggère aux RSSI de repenser leurs sources de recrutement pour les postes liés à la cybersécurité. « Les personnes ayant des compétences en analyse, en pensée systémique ou en analyse comportementale peuvent rapidement acquérir les compétences nécessaires pour occuper des postes dans le domaine de la cybersécurité », a-t-il ajouté.
Michelle Abraham, directrice de recherche senior chez IDC, estime que l’IA contribuera à réduire considérablement l’épuisement professionnel dans le domaine de la sécurité au cours des deux prochaines années, ce qui pourrait aider à répondre aux préoccupations de personnel des RSSI en matière. « Certes, de nombreux rapports font encore état de fatigue professionnel et d’un taux de rotation élevé, et de nombreuses initiatives ont été prises ces dernières années pour mettre en place davantage de programmes de formation », fait remarquer Mme Abraham. « Le burnout de ces professionnels est en partie dû au fait qu’ils doivent effectuer des tâches très répétitives. L’IA, capable de trier ces tâches, sera d’une aide précieuse. » Gary Longsine, CEO d’IllumineX, estime pour sa part que, même si la pénurie de talents est incontestable, ses conséquences pratiques sont souvent amplifiées par les parties prenantes. « La pénurie de personnel est considérablement exagérée par des entreprises comme Accenture, essentiellement pour faire peur aux DSI », a-t-il affirmé.
Dans un rapport récent d’Accenture, les RSSI mettent en évidence l’impact de la pénurie de main-d’oeuvre sur leur posture de sécurité et les apports de l’IA dans ce domaine.
La plupart des RSSI d’entreprise auront sans doute du mal à se souvenir d’une époque sans déficit de compétences en cybersécurité, mais un rapport d’Accenture souligne l’impact de cette pénurie sur les cyberdéfenses des entreprises à l’ère de l’IA. « Seules 34 % des entreprises disposent d’une stratégie mature en cybersécurité. Elles sont encore moins nombreuses (13 % seulement) à posséder les capacités avancées nécessaires pour se défendre contre les menaces modernes liées à l’IA », indique l’étude. « La grande majorité reste exposée, mal préparée et risque de prendre du retard à mesure que les menaces liées à l’IA s’accélèrent. » Selon Accenture, le cœur du problème réside dans les contraintes de main-d’œuvre auxquelles sont confrontées la grande majorité des entreprises, au point que 83 % des responsables IT estiment que la pénurie de personnels en cybersécurité est un obstacle majeur à la mise en place d’une posture de sécurité solide. »
Les analystes du secteur et les professionnels de la cybersécurité s’accordent à dire que cette problématique observée dans l’ensemble du secteur a un impact. Mais ils pensent également que les RSSI peuvent mettre en œuvre certaines pratiques pour atténuer l’effet de cette carence. « L’insuffisance de personnel dans le domaine de la cybersécurité est réelle et persistante, et elle va bien au-delà des dynamiques de rémunération. Il s’agit d’un problème systémique qui s’est développé au fil des ans », a expliqué Kanwar Preet Singh Sandhu, responsable mondial des initiatives stratégiques pour la sécurité de l’IA chez Tata Consultancy. « Rien qu’aux États-Unis, les données récentes sur la main-d’œuvre suggèrent que le nombre de professionnels disponibles ne peut pourvoir que 83 % des postes vacants dans le domaine de la cybersécurité, alors que près de 40 % des employeurs se disent prêts à payer davantage des compétences très demandées, notamment dans la sécurité du cloud et la détection des menaces », a ajouté M. Sandhu. « Si un salaire compétitif est indispensable pour attirer les meilleurs talents, le problème fondamental reste le manque de compétences spécialisées pour se défendre contre les menaces sophistiquées d’aujourd’hui. »
L’IA au secours de la fatigue des RSSI
« Cependant, certains défis liés aux recrutements dans les entreprises sont auto-imposés », a tempéré M. Sandhu, car selon lui, les entreprises ne font pas grand-chose pour remédier à la charge de travail, et au burnout qui en résulte, qui pousse bon nombre de leurs professionnels de la cybersécurité à chercher ailleurs. Une récente enquête de l’IANS a révélé que 53 % des responsables de la cybersécurité envisageaient de quitter leur poste. « La pression et l’environnement très stressant de la cybersécurité entraînent un épuisement professionnel important, rendant même les offres compétitives moins attrayantes », a pointé M. Sandhu. « Les entreprises doivent s’attaquer à la fois au déficit de compétences et à la culture qui pousse leurs atouts les plus précieux à partir. » Pour aider à résoudre le premier problème, M. Sandhu suggère aux RSSI de repenser leurs sources de recrutement pour les postes liés à la cybersécurité. « Les personnes ayant des compétences en analyse, en pensée systémique ou en analyse comportementale peuvent rapidement acquérir les compétences nécessaires pour occuper des postes dans le domaine de la cybersécurité », a-t-il ajouté.
Michelle Abraham, directrice de recherche senior chez IDC, estime que l’IA contribuera à réduire considérablement l’épuisement professionnel dans le domaine de la sécurité au cours des deux prochaines années, ce qui pourrait aider à répondre aux préoccupations de personnel des RSSI en matière. « Certes, de nombreux rapports font encore état de fatigue professionnel et d’un taux de rotation élevé, et de nombreuses initiatives ont été prises ces dernières années pour mettre en place davantage de programmes de formation », fait remarquer Mme Abraham. « Le burnout de ces professionnels est en partie dû au fait qu’ils doivent effectuer des tâches très répétitives. L’IA, capable de trier ces tâches, sera d’une aide précieuse. » Gary Longsine, CEO d’IllumineX, estime pour sa part que, même si la pénurie de talents est incontestable, ses conséquences pratiques sont souvent amplifiées par les parties prenantes. « La pénurie de personnel est considérablement exagérée par des entreprises comme Accenture, essentiellement pour faire peur aux DSI », a-t-il affirmé.
Dans un rapport récent d’Accenture, les RSSI mettent en évidence l’impact de la pénurie de main-d’oeuvre sur leur posture de sécurité et les apports de l’IA dans ce domaine.
La plupart des RSSI d’entreprise auront sans doute du mal à se souvenir d’une époque sans déficit de compétences en cybersécurité, mais un rapport d’Accenture souligne l’impact de cette pénurie sur les cyberdéfenses des entreprises à l’ère de l’IA. « Seules 34 % des entreprises disposent d’une stratégie mature en cybersécurité. Elles sont encore moins nombreuses (13 % seulement) à posséder les capacités avancées nécessaires pour se défendre contre les menaces modernes liées à l’IA », indique l’étude. « La grande majorité reste exposée, mal préparée et risque de prendre du retard à mesure que les menaces liées à l’IA s’accélèrent. » Selon Accenture, le cœur du problème réside dans les contraintes de main-d’œuvre auxquelles sont confrontées la grande majorité des entreprises, au point que 83 % des responsables IT estiment que la pénurie de personnels en cybersécurité est un obstacle majeur à la mise en place d’une posture de sécurité solide. »
Les analystes du secteur et les professionnels de la cybersécurité s’accordent à dire que cette problématique observée dans l’ensemble du secteur a un impact. Mais ils pensent également que les RSSI peuvent mettre en œuvre certaines pratiques pour atténuer l’effet de cette carence. « L’insuffisance de personnel dans le domaine de la cybersécurité est réelle et persistante, et elle va bien au-delà des dynamiques de rémunération. Il s’agit d’un problème systémique qui s’est développé au fil des ans », a expliqué Kanwar Preet Singh Sandhu, responsable mondial des initiatives stratégiques pour la sécurité de l’IA chez Tata Consultancy. « Rien qu’aux États-Unis, les données récentes sur la main-d’œuvre suggèrent que le nombre de professionnels disponibles ne peut pourvoir que 83 % des postes vacants dans le domaine de la cybersécurité, alors que près de 40 % des employeurs se disent prêts à payer davantage des compétences très demandées, notamment dans la sécurité du cloud et la détection des menaces », a ajouté M. Sandhu. « Si un salaire compétitif est indispensable pour attirer les meilleurs talents, le problème fondamental reste le manque de compétences spécialisées pour se défendre contre les menaces sophistiquées d’aujourd’hui. »
L’IA au secours de la fatigue des RSSI
« Cependant, certains défis liés aux recrutements dans les entreprises sont auto-imposés », a tempéré M. Sandhu, car selon lui, les entreprises ne font pas grand-chose pour remédier à la charge de travail, et au burnout qui en résulte, qui pousse bon nombre de leurs professionnels de la cybersécurité à chercher ailleurs. Une récente enquête de l’IANS a révélé que 53 % des responsables de la cybersécurité envisageaient de quitter leur poste. « La pression et l’environnement très stressant de la cybersécurité entraînent un épuisement professionnel important, rendant même les offres compétitives moins attrayantes », a pointé M. Sandhu. « Les entreprises doivent s’attaquer à la fois au déficit de compétences et à la culture qui pousse leurs atouts les plus précieux à partir. » Pour aider à résoudre le premier problème, M. Sandhu suggère aux RSSI de repenser leurs sources de recrutement pour les postes liés à la cybersécurité. « Les personnes ayant des compétences en analyse, en pensée systémique ou en analyse comportementale peuvent rapidement acquérir les compétences nécessaires pour occuper des postes dans le domaine de la cybersécurité », a-t-il ajouté.
Michelle Abraham, directrice de recherche senior chez IDC, estime que l’IA contribuera à réduire considérablement l’épuisement professionnel dans le domaine de la sécurité au cours des deux prochaines années, ce qui pourrait aider à répondre aux préoccupations de personnel des RSSI en matière. « Certes, de nombreux rapports font encore état de fatigue professionnel et d’un taux de rotation élevé, et de nombreuses initiatives ont été prises ces dernières années pour mettre en place davantage de programmes de formation », fait remarquer Mme Abraham. « Le burnout de ces professionnels est en partie dû au fait qu’ils doivent effectuer des tâches très répétitives. L’IA, capable de trier ces tâches, sera d’une aide précieuse. » Gary Longsine, CEO d’IllumineX, estime pour sa part que, même si la pénurie de talents est incontestable, ses conséquences pratiques sont souvent amplifiées par les parties prenantes. « La pénurie de personnel est considérablement exagérée par des entreprises comme Accenture, essentiellement pour faire peur aux DSI », a-t-il affirmé.
En parallèle des propos de Brad Smith, président de Microsoft qui réaffirme la protection des données européennes, la firme américaine a annoncé la création d’un poste de RSSI adjoint pour l’Europe. Certains analystes estiment que cette nomination aurait déjà du être faite depuis longtemps.
La semaine dernière, Microsoft a mené une opération déminage après les tensions commerciales entre l’Europe et les Etats-Unis. Brad Smith, président de Microsoft est monté au créneau en rappelant que la société continuera à protéger les données européennes face aux lois américaines y compris à portée extraterritoriale. « Si nécessaire, nous sommes prêts à saisir la justice » et cette obligation d’ester en justice sera…
Il vous reste 92% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Les membres du CA/Browser Forum ont voté en faveur d’une réduction de la durée de vie des certificats pour les sites web. Elle passerait ainsi d’un an à 47 jours d’ici 2029. L’association justifie cette décision par le renforcement de la sécurité.
Un simple vote, mais avec des grandes conséquences. En effet, le Certification Authority Browser Forum (CA/Browser) regroupant les émetteurs de certificats et les éditeurs d’applications ont voté en fin de semaine dernière la baisse radicale de la durée de vie des certificats vérifiant la propriété des sites. Les modifications approuvées à une écrasante majorité seront introduites progressivement jusqu’en mars 2029, date à laquelle les certificats ne dureront plus que 47 jours.
Les…
Il vous reste 93% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Malgré les risques dont ils ont connaissance, les dirigeants poussent les RSSI à mener toutes sortes de déploiements et d’expérimentations d’IA générative. A charge pour les responsables de la cybersécurité de gérer les menaces et d’être débordés.
Pour de nombreux RSSI, l’idée que se font les dirigeants sur les promesses de l’IA générative a tout du chant de sirène. Selon une récente enquête de NTT Data, 89 % des cadres supérieurs sont très préoccupés par les risques de sécurité associés aux déploiements de l’IA générative. Mais, selon le rapport, ces mêmes cadres estiment que « la promesse et le retour sur investissement de la GenAI l’emportent sur les risques », si bien que, en…
Il vous reste 92% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Dans un procès relatif à une violation massive de données en 2018, Marriott a révélé qu’elle avait utilisé l’algorithme de hachage sécurisé SHA-1et non le chiffrement AES-128 beaucoup plus sûr, comme elle l’avait prétendu jusque-là.
Pendant plus de cinq ans, la chaîne hôtelière Marriott a soutenu que, lors de la violation massive de données dont elle a été victime en 2018, son niveau de chiffrement (AES-128) était si fort que les poursuites engagées contre elle devaient être abandonnées. Mais, lors d’une audience qui a eu lieu le 10 avril, ses avocats ont admis qu’elle n’avait jamais utilisé ce protocole au moment de la violation. En fait, à l’époque, elle se servait de l’algorithme de hachage sécurisé 1 (SHA-1), qui est un mécanisme de hachage et non de chiffrement. Lors de l’audience du tribunal de district du Maryland, Division sud, le juge John Preston Bailey a ordonné à Marriott « de rectifier toute information sur son site web dans un délai de sept jours ».
Marriott n’a pas publié de communiqué de presse et n’a pas signalé le changement sur sa page d’accueil. Au lieu de cela, l’entreprise a ajouté deux phrases à une page de son site web datant du 4 janvier 2019. Le seul moyen pour les consommateurs, les actionnaires, les journalistes ou toute autre personne de le voir est de cliquer sur la page vieille de cinq ans. Deux mentions indiquent que « à la suite d’une enquête menée avec plusieurs experts de sécurité des données de premier plan, Marriott a initialement déterminé que les numéros de carte de paiement et certains numéros de passeport dans les tables de base de données impliquées dans l’incident de sécurité de la base de données Starwood que Marriott a signalé le 30 novembre 2018 étaient protégés par un chiffrement Advanced Encryption Standard 128 (AES-128). Marriott a maintenant déterminé que les numéros de cartes de paiement et certains des numéros de passeport dans ces tables étaient plutôt protégés par une méthode cryptographique différente connue sous le nom de Secure Hash Algorithm 1 (SHA-1) ».
Une fausse déclaration aux assureurs
Jusqu’à présent, la chaîne hôtelière n’a répondu à aucune des questions cruciales sur cet aveu. Qu’est-ce qui a amené l’entreprise à penser initialement qu’elle avait utilisé AES-128, à supposer qu’elle l’ait effectivement cru ? Après les enquêtes judiciaires menées par des entreprises extérieures, notamment Accenture, Verizon et CrowdStrike, comment se fait-il que personne n’ait remarqué qu’il n’y avait en fait aucun chiffrement en place ? Et s’ils l’avaient remarqué, pourquoi l’entreprise a-t-elle continué à soutenir la fausse allégation de cryptage ? Et surtout, quand et comment Marriott a-t-elle découvert la vérité ? Douglas Brush, adjoint désigné auprès des tribunaux fédéraux américains et Chief Visionary Officer d’Accel Consulting, qui ne travaille pas sur l’affaire en question, a déclaré que ce revirement de Marriott pouvait avoir de sérieuses implications pour l’entreprise. Au-delà de Marriott, il pointe certains risques associés à toute fausse déclaration dans une affaire de violation. « Par ses fausses déclarations à ses assureurs, la chaîne hôtelière a-t-elle cherché à obtenir une couverture avant et pendant l’événement afin de couvrir les pertes ? Si Marriott a effectivement fait de fausses déclarations, cela constituerait une violation manifeste du contrat avec l’opérateur. Ce dernier pourrait intenter une action en recouvrement de la couverture », a expliqué M. Brush.
« De plus, selon le principe de due diligence qui s’applique aux fusions et acquisitions, qui a dit qu’il y avait une certaine norme de cryptage en place pour les données ? L’acheteur, le vendeur, les deux ? Cela pose désormais des problèmes à la SEC parce que la due diligence n’a pas tenu compte d’un élément qui s’étend maintenant dans la durée et un impact matériel important. « Par ailleurs, si cet élément est remarqué et appuyé, aura-t-il un impact sur les prix des actions en 2024 et donnera-t-il lieu au dépôt d’un formulaire 8K pour une divulgation transparente ? » En mars 2019, l’entreprise avait déclaré 28 millions de dollars de dépenses liées à la violation.
Les efforts de détection de la fraude entravés, selon les avocats des plaignants
Les avocats des consommateurs qui poursuivent Marriott ont fait valoir au juge Bailey que ces récentes informations étaient graves, car il est bien admis que le SHA-1 n’est pas du chiffrement et qu’il peut être piraté très rapidement. « En fait, les cartes de paiement ne permettent même pas de protéger les informations à l’aide de ce type d’algorithme », a déclaré l’avocate Amy Keller. De plus, Marriott a dit à ses clients de ne pas s’inquiéter, « car elle n’avait trouvé aucune preuve généralisée de fraude ». Le problème avec cette déclaration, c’est qu’elle ne tient pas compte du fait que quand on dit aux gens que certaines informations sont cryptées, deux choses se produisent.
La première, c’est que les marques de cartes comme Mastercard et VISA cessent d’enquêter sur les fraudes généralisées. Ainsi, si la marque de carte a déterminé qu’une fraude généralisée n’a pas pu se produire parce que les informations étaient chiffrées, le type d’informations qu’elle recherchait est maintenant perdu à jamais parce que la violation date d’il y a cinq ans ». Dans un document déposé au tribunal, l’avocat des plaignants a ajouté qu’une déclaration de l’experte en responsabilité Mary Frantz indiquait que la protection des données des cartes de paiement par SHA-1 est fonctionnellement la même que l’absence de chiffrement, « car tout pirate informatique utilisant un ordinateur portable moderne aurait pu révéler les numéros de cartes de paiement et de passeports exfiltrés de la base de données de Marriott ».
Malgré la longue et vague déclaration faite en mars par McDonald’s sur la panne mondiale qui l’avait empêché d’accepter tous paiements, il est possible de comprendre en grande partie ce qui s’est vraiment passé.
Une longue déclaration publiée par McDonald’s pour justifier la panne mondiale qui l’avait empêché d’accepter les paiements le mois dernier devrait servir de modèle du genre dans l’art et la manière de ne pas signaler un problème informatique. Bien que vague et trompeur, le langage utilisé par l’entreprise a quand même permis de comprendre de nombreux détails techniques, souligne notre confrère d’IDG, Evan Schuman. Par ailleurs, si McDonald’s est restée vague sur les circonstances, elle a…
Il vous reste 94% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?