Aucun programme ne peut déceler un comportement suspect dans les registres de données d’une entreprise aussi bien qu’un expert qui sait ce qui ne devrait pas s’y trouver. Seulement, y aura-t-il assez de spécialistes pour répondre à la demande de toutes ces sociétés qui se battent pour recruter les plus compétents ?
Le cabinet de conseil américain Frost & Sullivan collabore chaque année avec la société d’experts-conseils en gestion et en technologie Booz Allen Hamilton pour publier l’étude « Global Information Security Workforce Study » sur la maind’œuvre du secteur de la sécurité et de l’information. Selon cette étude, rien qu’en 2013, près de 332 000 emplois dans la sécurité informatique seront venus grossir la masse salariale mondiale pour atteindre 3,2 millions de postes dans le secteur, soit une hausse de 10%.
Alberto Soliño, directeur de gestion de programme chez CORE Security, entreprise de recherche et d’intervention basée à Buenos Aires, Argentine, explique qu’un véritable spécialiste doit posséder plusieurs années d’expérience en matière de tests de sécurité et de gestion des attaques, connaître les dernières techniques des hackers et avoir une excellente connaissance de l’industrie. « Ce type de profil est assez rare et coûte très cher pour une entreprise de taille moyenne », déclare-t-il. La meilleure solution, qui convient à tous sauf aux grandes entreprises, est d’utiliser des professionnels de la sécurité en interne et une série d’outils spécialisés disponibles sur le marché. « Vous n’avez pas envie de dépenser (en experts-conseils) pour des failles que des outils de test pourraient détecter. »
THÉORIE VERSUS PRATIQUE
Allan Paller, directeur de recherche au SANS Institute, groupe américain de recherche et de formation en sécurité, explique que le véritable obstacle est le manque d’entraînement sur le terrain de la majorité des « experts », et qu’ils sont encore moins nombreux à savoir traduire leur connaissance sur les menaces en stratégie de protection contre les attaques de demain.
« CE TYPE DE PROFIL EST ASSEZ RARE ET COÛTE TRÈS CHER POUR UNE ENTREPRISE DE TAILLE MOYENNE. »
ALBERTO SOLIÑO
DIRECTEUR DE GESTION DE PROGRAMME SÉCURITÉ PRINCIPALE
Pour A. Paller, les experts se divisent en trois groupes : les analystes de politiques sans expérience pratique, les administrateurs de pare-feu et analyseurs de logs qui travaillent sur le terrain, et les « chasseurs et concepteurs d’outils » capables d’analyser des attaques de données et rapidement mettre à jour les filtres pour bloquer les intrus. Malheureusement, les analystes de politiques sont deux fois plus nombreux que les deux autres groupes. « Les chasseurs et concepteurs d’outils sont payés entre US$130 000 et US$200 000 si vous arrivez à mettre la main dessus. En réalité, ils sont extrêmement durs à dénicher. »
David Bizeul, chef de l’équipe d’intervention pour les incidents de sécurité informatique à Cassadian Cybersecurity basée à Paris, affirme que beaucoup d’organisations de plus petite taille n’ont pas les moyens d’offrir les ressources nécessaires à leur personnel de sécurité. Il leur conseille de confier leur cyber -sécurité à des entreprises spécialisées. « C’est pénible pour un spécialiste de la cyber-sécurité d’avoir l’impression de parler chinois avec ses collègues », raconte D. Bizeul. « Avec la pénurie de ces profils, il devrait être plus difficile pour les entreprises sans rapport avec la sécurité de recruter des experts. »
Richard Bejtlich, responsable de la sécurité chez Mandiant, cabinet de conseil basé aux États-Unis, recommande aux entreprises d’examiner attentivement tous les fournisseurs de sécurité dématérialisée. Son conseil : dresser une check-list des prérequis et interroger le fournisseur pour s’assurer qu’il répond à ces critères.
« Si les technologies de l’information ne sont pas votre domaine, vous obtiendrez sûrement un meilleur service avec un bon fournisseur sur le cloud », explique R. Bejtlich. « Mais les avantages que vous en tirerez dépendent du fournisseur que vous choisissez. »
FORMER DES CHIENS DE GARDE
Alors, comment trouver plus d’excellents experts ? A. Paller répond que la solution ne consiste pas à former les analystes de politiques à ce type d’expertise. « Il sera bien plus facile de constituer une réserve de jeunes esprits brillants qui peuvent rapidement le devenir. »
Plusieurs états américains ont déjà annoncé des programmes spéciaux destinés à accorder des bourses d’études à une dizaine de gagnants de compétitions de hacking, explique A. Paller. Les 50 états devraient annoncer le lancement de ce type de programme dans le courant de l’année prochaine. (www.cyberaces.org)
AVEZ-VOUS LE BON NOMBRE DE COLLABORATEURSDÉDIÉS À LA SÉCURITÉ DE L’INFORMATION ?
Source : 2013 Global Information Security Workforce Study, Frost & Sullivan and Booz Allen Hamilton
