Quel modèle de sécurité pour faire face à la pénurie de ressources ?

mySOC & Security-as-a-Service
Quel modèle de sécurité pour faire face à la pénurie de ressources ?

L’ISC2 (International Information Systems Security Certification Consortium) a publié récemment une étude concernant l’emploi et les effectifs dans la sécuritéA l’échelle mondiale, il manque tout simplement trois millions de personnes qualifiées pour faire face aux challenges de la cybersécurité. Plus de 60% des experts interrogés ont répondu que leur organisation manquait de ressources. Cette situation représente un risque pour 59% des organisations interrogées.

Passionnés, mais tellement seuls !

Les professionnels interrogés expliquent que le manque de ressources compétentes est désormais leur première préoccupation. Cette problématique dépasse désormais les enjeux historiquement cités, que sont le manque de budget ou le manque de temps. Pour autant les experts du domaine sont toujours globalement satisfaits (à près de 68%) de leur métier. Alors que faire quand on est motivé mais démuni face à tous les risques à couvrir et tous les projets à suivre ?

Plus de budget, mais pas que ?

55% des sociétés interrogées pour cette étude s'attendent à augmenter le budget Sécurité l’an prochain. Il est intéressant de noter que pour 70% des sondés, le nouveau montant sera suffisant. Mais à quoi va servir ce budget ? A recruter bien sûr ! Mais encore faudra-t-il trouver les perles rares !

Les trois prérequis identifiés comme les plus importants pour les recrutements sont :

  1. une expérience pertinente dans le milieu de la cybersécurité (logique !)
  2. une connaissance des concepts les plus avancés (« C’est quoi déjà APT ? C’est le classement du tennis, c’est bien ça ?... »)
  3. des certifications dans le domaine (c’est peut-être un biais du caractère anglosaxon de l’étude, il faudrait voir si ce critère arriverait dans le top 3 en France… ou alors on demanderait une certif EBIOS !)

Recruter c’est bien, mais après ?

Trouver les perles rares ne sera donc pas une mince affaire, compte-tenu de la pénurie et des attentes des recruteurs concernés. D’autant plus que pour les experts déjà en place, les perspectives ne sont peut-être pas les plus claires. Pour les personnes interrogées, il y a des challenges majeurs à adresser pour tenir la durée, comme notamment

  • le flou dans les progressions et évolutions de carrière possibles (« RSSI un jour, RSSI toujours ? »).
  • le manque de compréhension (et de valorisation ?) des compétences Cyber par les entreprises (« Mais puisque je vous dis que je suis RSSI ! Je ne vais quand même pas configurer le firewall ! »)

On peut noter que ces chiffres rappellent l’étude menée en 2016 par Advens, le CESIN et le CLUSIR Nord de France auprès de plus de 100 RSSI. Les répondants étaient passionnés mais se demandaient quelle serait leur prochaine étape.

Et si on se trompait de combat ?

Au-delà du recrutement et des évolutions, l’étude pointe également un sujet capital. C’est celui de la répartition des tâches du RSSI et des professionnels de la sécurité. En synthèse, les personnes interrogées se plaignent de passer trop de temps sur l’administration des solutions de sécurité, la réponse à incident et la sécurité des endpoints. Il s’agit de travaux considérés comme trop chronophages. Les professionnels souhaiteraient se consacrer à des travaux à plus forte valeur ajoutée, comme la threat intelligence.

Ce dernier point est donc pour nous assez révélateur. La sécurité est abordée depuis longtemps dans une logique de moyens. On empile les solutions technologiques et on cherche à augmenter les effectifs, internes comme externes. Cela mène à une situation qui n’est pas convaincante pour les professionnels – qui veulent faire autre chose de leur temps. Et visiblement cette situation n’a pas encore porté ses fruits – vu le nombre croissant d’incidents relayés dans les media.

L’apport du Security-as-a-service

Face à la pénurie de ressources, cette approche apporte de nombreuses réponses. Elle permet tout d’abord de recentrer les équipes en place sur des travaux à plus forte valeur ajoutée. En confiant à des professionnels la gestion de certains processus (détection et réponse aux incidents, protection de périmètres sensibles, gestion des technologies de sécurité, …), on se concentre sur la remédiation, la communication ou encore l’accompagnement. Sans compter que ce mode de delivery combine également agilité, engagement, résultats et réduction des coûts.

L’externalisation de certaines des fonctions de la Sécurité, dès lors qu’elle se fait dans un cadre de confiance et avec le bon niveau d’expertise, est une solution que nous ne manquerons pas d’aborder dans nos travaux. Pour en savoir plus, n’hésitez pas à nous contacter !

Benjamin Leroux, Innovation & Marketing, Advens