Traverser le déficit des compétences en cyber-sécurité

Avec un bassin croissant de menaces à traiter et un bassin de plus en plus restreint de personnes qualifiées pour y faire face, comment aborder ce grave problème? La réponse évidente est de recruter des personnes plus qualifiées pour faire le travail. Mais simplement augmenter nos rangs ne résoudra pas complètement le problème. Les professionnels de la sécurité doivent mettre en œuvre une approche à plusieurs volets pour faire face aux différents aspects du défi des «menaces» à portée de main. 

1. La sécurité dès la conception

Trop souvent, la sécurité est une réflexion après coup dans la conception. À moins que le produit ne soit spécifiquement conçu à des fins de sécurité, les fonctionnalités de sécurité sont souvent appliquées vers la fin plutôt que considérées comme un élément clé du processus de conception. Prenons l'exemple de l'industrie automobile. L'automobile a été conçue avec l'intention d'offrir aux gens une option de voyage qui n'impliquait pas de nourrir et de ramasser les chevaux. De nombreuses voitures anciennes n'avaient même pas de serrure, car elles appartenaient à des très riches qui avaient des conducteurs qui resteraient avec le véhicule. Même maintenant, les voitures connectées sont vulnérables au piratage de leurs systèmes informatiques en raison de tous les composants IoT qui y sont intégrés.

Selon Ruggero Contu, directeur de recherche de Gartner, lorsque l'on examine les appareils IoT, « une stratégie de sécurité cohérente est pratiquement absente. «Si nous espérons aborder collectivement le problème de la cybersécurité à mesure que de plus en plus d'appareils IoT entreront en jeu, nous devons faire de la sécurité une partie intégrante du processus de conception.

2. Exploration de la sécurité dans STEM

Le déficit de professionnels de la cybersécurité est quelque chose que nous devons commencer à planifier pour l'instant. En 2001, le Dr Judith Ramaley, directrice adjointe de la direction de l'éducation et des ressources humaines à la National Science Foundation, a inventé le terme STEM pour décrire l'accent pédagogique qui devrait être mis sur la conduite des sciences, de la technologie, de l'ingénierie et des mathématiques dans les écoles. Le terme STEM est maintenant couramment utilisé dans de nombreux pays dans le but d'encourager les enfants à s'intéresser à ces domaines dans l'espoir de constituer un plus grand bassin de professionnels qualifiés pour l'avenir.

Bien que la sécurité relève du seau STEM, en faisons-nous assez pour susciter l'intérêt à un jeune âge? À tout le moins, les leaders du secteur de la sécurité doivent commencer à travailler plus étroitement avec les développeurs de programmes STEM du monde entier pour mettre en évidence la gravité de la situation et travailler pour combler le fossé de la cybersécurité pour les générations futures. Ce n'est pas un problème qui s'est produit du jour au lendemain - et il faudra du temps pour le régler - mais nous devons commencer maintenant.

3. Sensibilisation à la sécurité dans la culture d'entreprise

Aucun logiciel installé sur le back-end ne peut faire son travail 100% du temps si les gens ne sont pas prudents sur le front-end. Pour commencer, les utilisateurs finaux doivent être considérés comme des troupes de première ligne dans la lutte contre les cybermenaces. Nous devons nous assurer qu'ils comprennent le rôle important qu'ils jouent dans la prévention des cyberattaques.

Pour réussir, les organisations doivent considérer la «préparation» à la cybersécurité comme étant plus qu'un simple travail. En proposant d'aider les employés et leurs familles à développer des pratiques de sécurité chez eux, cela créera naturellement une organisation de sensibilisation à la sécurité. Il y a quelques années, j'ai travaillé avec une organisation de l'industrie du transport qui est allée jusqu'à acheter des logiciels de sécurité pour tous les appareils ménagers de ses employés en guise de remerciement d'avoir suivi le cours annuel de sécurité en ligne. Cela a non seulement augmenté la participation aux enquêtes futures, mais a également créé un environnement de travail plus sécurisé, les appareils domestiques devenant moins susceptibles de transférer des logiciels malveillants vers les appareils du bureau et vice versa. En outre, cela a accru la sensibilisation de chacun à la sécurité dans toute l'entreprise.

4. Implémenter IAM

Un autre élément clé que les organisations peuvent examiner est la gestion de l'accès aux identités (IAM). S'ils utilisent des solutions IAM, ils peuvent limiter leur pool de risques en s'assurant que seuls les bons employés ont accès aux bonnes données au bon moment. Cela signifie que si l'une de leurs «troupes de première ligne» est victime d'une attaque quelconque, elle n'aurait qu'un accès limité aux données d'entreprise qui pourraient ensuite être verrouillées rapidement en tirant parti de la solution IAM pour couper les droits d'accès.

Il est évident que le paysage des menaces de cybersécurité évolue, mais nous ne sommes pas complètement perdus. Il reste encore quelques outils dans la boîte à outils proverbiale prêts à relever ce défi. En tant qu'industrie, si nous pouvons examiner la situation de manière globale, nous serons en mesure de déjouer les cybercriminels d'aujourd'hui et de prendre le pas pour devancer les actes criminels potentiels de demain.

2. Exploration de la sécurité dans STEM

Le déficit de professionnels de la cybersécurité est quelque chose que nous devons commencer à planifier pour l'instant. En 2001, le Dr Judith Ramaley, directrice adjointe de la direction de l'éducation et des ressources humaines à la National Science Foundation, a inventé le terme STEM pour décrire l'accent pédagogique qui devrait être mis sur la conduite des sciences, de la technologie, de l'ingénierie et des mathématiques dans les écoles. Le terme STEM est maintenant couramment utilisé dans de nombreux pays dans le but d'encourager les enfants à s'intéresser à ces domaines dans l'espoir de constituer un plus grand bassin de professionnels qualifiés pour l'avenir.

Bien que la sécurité relève du seau STEM, en faisons-nous assez pour susciter l'intérêt à un jeune âge? À tout le moins, les leaders du secteur de la sécurité doivent commencer à travailler plus étroitement avec les développeurs de programmes STEM du monde entier pour mettre en évidence la gravité de la situation et travailler pour combler le fossé de la cybersécurité pour les générations futures. Ce n'est pas un problème qui s'est produit du jour au lendemain - et il faudra du temps pour le régler - mais nous devons commencer maintenant.

3. Sensibilisation à la sécurité dans la culture d'entreprise

Aucun logiciel installé sur le back-end ne peut faire son travail 100% du temps si les gens ne sont pas prudents sur le front-end. Pour commencer, les utilisateurs finaux doivent être considérés comme des troupes de première ligne dans la lutte contre les cybermenaces. Nous devons nous assurer qu'ils comprennent le rôle important qu'ils jouent dans la prévention des cyberattaques.

Pour réussir, les organisations doivent considérer la «préparation» à la cybersécurité comme étant plus qu'un simple travail. En proposant d'aider les employés et leurs familles à développer des pratiques de sécurité chez eux, cela créera naturellement une organisation de sensibilisation à la sécurité. Il y a quelques années, j'ai travaillé avec une organisation de l'industrie du transport qui est allée jusqu'à acheter des logiciels de sécurité pour tous les appareils ménagers de ses employés en guise de remerciement d'avoir suivi le cours annuel de sécurité en ligne. Cela a non seulement augmenté la participation aux enquêtes futures, mais a également créé un environnement de travail plus sécurisé, les appareils domestiques devenant moins susceptibles de transférer des logiciels malveillants vers les appareils du bureau et vice versa. En outre, cela a accru la sensibilisation de chacun à la sécurité dans toute l'entreprise.

4. Implémenter IAM

Un autre élément clé que les organisations peuvent examiner est la gestion de l'accès aux identités (IAM). S'ils utilisent des solutions IAM, ils peuvent limiter leur pool de risques en s'assurant que seuls les bons employés ont accès aux bonnes données au bon moment. Cela signifie que si l'une de leurs «troupes de première ligne» est victime d'une attaque quelconque, elle n'aurait qu'un accès limité aux données d'entreprise qui pourraient ensuite être verrouillées rapidement en tirant parti de la solution IAM pour couper les droits d'accès.

Il est évident que le paysage des menaces de cybersécurité évolue, mais nous ne sommes pas complètement perdus. Il reste encore quelques outils dans la boîte à outils proverbiale prêts à relever ce défi. En tant qu'industrie, si nous pouvons examiner la situation de manière globale, nous serons en mesure de déjouer les cybercriminels d'aujourd'hui et de prendre le pas pour devancer les actes criminels potentiels de demain.


Rejoindre la conversation