Recruter des talents en cybersécurité demeure compliqué, rapporte une étude d’ESG et ISSA. Une pénurie qui impacte les entreprises et les collaborateurs déjà en poste.
Depuis plusieurs années, le manque de compétences en cybersécurité est régulièrement mis en avant. Une récente étude (The Life and Times of Cybersecurity Professionals )menée par ESG (Enterprise Strategy Group) et l’ISSA (Information Systems Security Association) constate que la situation persiste, voire même selon certains empire. En 2023, 71% des professionnels de la sécurité déclarent que leur entreprise est affectée par cette pénurie de talents, contre 57% en 2021.
Face à cette carence, les entreprises sont obligées de reporter la charge de travail sur le personnel déjà en poste (pour 61% des sondés). On ne s’étonnera donc pas que 43% des répondants constate une hausse des cas de burn-out et de démission chez les professionnels de sécurité. Autre enseignement, les postes restent vacants pendant des semaines ou des mois, observent 49% des personnes interrogées. C’est particulièrement vrai dans les petites entreprises, dans les régions isolées et dans le secteur public. Mais même les grandes entreprises bien dotées en ressources font état de difficultés à pourvoir les postes. Enfin, 30% affirment que, du fait de la pénurie de compétences, leur entreprise a dû embaucher et former des employés sans expérience plutôt que des candidats expérimentés
Une pénurie qui s’aggrave
L’étude indique clairement qu’on est loin de remédier de manière significative à la pénurie de compétences en cybersécurité, malgré les années passées par certains à alerter sur le sujet. Le pire, c’est de voir que l’on n’arrive pas à l’enrayer : 54 % des professionnels de la cybersécurité interrogés déclarent que la pénurie de compétences s’est aggravée au cours des deux dernières années, tandis que 41 % affirment qu’elle est restée à peu près inchangée. Hélas, seuls 5 % d’entre eux estiment que la situation s’est améliorée.
Outre la pénurie de compétences en cybersécurité, l’étude s’intéresse à l’évolution de carrière des professionnels de la cybersécurité, à la satisfaction au travail, mais il parle aussi des performances et du leadership des RSSI. On constate que le stress est un des facteurs mis en avant pour un changement de poste.
Les entreprises prévoient d’augmenter leurs dépenses, en investissant dans des domaines comme la distribution de renseignements sur les menaces, la gestion des risques numériques et l’intégration des technologies de sécurité.
Dans un récent article, nous avions demandé à des professionnels de la cybersécurité quelles caractéristiques devait avoir un programme de renseignement sur les cybermenaces (Cyber-Threat Intelligence, CTI) pour être considéré comme mature. Selon un rapport du cabinet d’études Entreprise Strategy Group (ESG), les principales caractéristiques d’un programme CTI mature sont la diffusion de rapports à un large public, l’analyse de quantités massives de données sur les menaces et l’intégration du CTI à de nombreuses technologies de sécurité. Hélas, la plupart des programmes CTI sont loin d’être matures, mais cela pourrait changer dans les prochaines années, car la plupart des entreprises investissent davantage dans ces programmes. Au cours des 12 à 18 prochains mois, 63% des entreprises prévoient d’augmenter « considérablement » leurs dépenses liées aux programmes CTI, et 34 % d’entre elles prévoient d’augmenter « un peu » ces dépenses.
Mais pourquoi donc investir dans le CTI ? Parce que le renseignement sur les cybermenaces peut apporter des avantages technologiques et commerciaux. L’étude de l’ESG révèle ainsi que le grand intérêt pour les programmes CTI découle de la nécessité de se renseigner sur les menaces pouvant peser sur les entreprises concernées par des fusions-acquisitions, celle de se renseigner sur la menace de pirates individuels ou de groupes d’adversaires planifiant des attaques ciblées, et la nécessité de se renseigner sur les tactiques, techniques et procédures (TTP) des acteurs de la menace pour que les entreprises puissent renforcer leurs défenses en matière de sécurité.
Une démarche portée par les RSSI
Si les RSSI cherchent à investir davantage dans le renseignement sur les menaces, c’est qu’ils sont convaincus que ces investissements peuvent atténuer les cyber-risques tout en améliorant la prévention et la détection des menaces. Dans les prochains 12 à 24 mois, 30% des entreprises donneront la priorité au partage des rapports de renseignements sur les menaces avec les groupes internes. C’est un pas dans la bonne direction, car les renseignements sur les menaces ont une valeur au-delà du centre d’opérations de sécurité (SOC) et peuvent améliorer l’information sur les alertes. Les RSSI peuvent utiliser les CTI pour prioriser les investissements et valider les contrôles de sécurité, tandis que les directeurs commerciaux peuvent équilibrer les initiatives de transformation numérique avec des décisions de gestion des risques plus approfondies. La diffusion des CTI et le retour d’information des consommateurs sont des phases clés d’un cycle de vie mature du renseignement sur les menaces. Par ailleurs, 27% des entreprises investiront en priorité dans des services de protection contre les risques numériques (Digital Risk Protection, DRP). À mesure que les entreprises étendent leur empreinte numérique, elles ont besoin d’une meilleure compréhension des risques qui en découlent. Les services de protection contre les risques numériques offrent cette visibilité en surveillant les fuites de données en ligne, la réputation de la marque, les vulnérabilités de la surface d’attaque et les discussions autour de la planification des attaques sur le dark web ou le deep web.
27% des entreprises donneront la priorité à l’intégration avec d’autres technologies de sécurité. Au-delà des terminaux, du courrier électronique et des périmètres de réseau, les RSSI souhaitent une intégration du CTI avec des outils de sécurité dans le cloud, des solutions de gestion des informations et des événements de sécurité (Security Information and Event Management, SIEM) et des solutions de détection et de réponse étendues (Extended Detection and Response, XDR), ainsi que des outils de sécurité en périphérie (Security Service Edge, SSE) comme des passerelles web sécurisées (Secure Web Gateway, SWG) et des courtiers de services d’accès cloud (Cloud Access Service Brokers, CASB). Plus d’intégration équivaut à bloquer plus d’indicateurs de compromission (Indicators of Compromise, IoC) et à développer une défense plus complète basée sur les menaces. 27% des entreprises donneront la priorité à l’acquisition d’une plateforme de renseignement sur les menaces (Threat Intelligence Platform, TIP) pour la collecte, le traitement, l’analyse et le partage des renseignements sur les menaces. Autrefois apanage des plus grandes entreprises, les TIP se démocratisent peu à peu. Selon moi, une grande partie de ces dépenses sera consacrée à des fournisseurs de services comme Flashpoint, Mandiant, Rapid7 (Intsights), Recorded Future, Reliaquest (Digital Shadows), SOCRadar et ZeroFox. Les grands acteurs comme Cisco, CrowdStrike, IBM, Microsoft et Palo Alto Networks capteront aussi une bonne part de ce marché.
Sun Tzu à la rescousse
Enfin, 26% des entreprises donneront la priorité au développement d’un programme plus formel. Les entreprises réalisent qu’elles ne peuvent plus se contenter de quelques sources ouvertes de renseignements sur les menaces et de les faire examiner par des analystes à temps partiel. Elles ont besoin de personnel et de processus pour exécuter un cycle de vie CTI complet. Pendant que les RSSI réorganisent leur fonctionnement interne, la plupart d’entre eux s’appuieront sur des prestataires de services, comme ceux mentionnés ci-dessus, pour effectuer le gros du travail. Comme le dit la célèbre citation du général et stratège chinois Sun Tzu : « Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril ». Les entreprises dotées de programmes CTI matures se connaissent elles-mêmes, connaissent l’ennemi et utilisent ces connaissances pour optimiser l’atténuation des cyber-risques et les défenses de sécurité.