Promotion de la sécurité
Tout était mieux avant ! Les réseaux étaient sécurisés par des filtres de paquets, très bas dans le modèle de référence OSI (au niveau 3 ou 4). Les droits d'accès étaient réglés au niveau de la machine ou du système d'exploitation, la programmation se faisait en assembleur ou en C - tout était bien de bas niveau !
Ah, le bon vieux temps, quand nous avions encore un périmètre de réseau et des images claires de l'ennemi : l'extérieur était le mal, l'intérieur était le bien - et on attrapait les virus par des disquettes infectées !
A l'époque, "tous les domaines de la sécurité" - c'est-à-dire le pare-feu et l'antivirus - étaient couverts par un seul administrateur, qui était également responsable de la gestion du serveur de messagerie (interne, bien sûr) (UNIX sendmail - nix Exchange !).
Émancipation et valeur
Mais regardons la réalité en face : la (in)sécurité est montée en puissance - montée en puissance dans les couches du modèle de référence OSI. Aujourd'hui, la plupart des attaques se produisent au niveau de la couche de présentation, voire de la couche d'application.
Pour les responsables de la sécurité, cette évolution signifie qu'il ne suffit plus de s'occuper des réseaux, des pare-feux et d'une poignée de systèmes d'exploitation pour protéger les réseaux d'entreprise, les applications et les utilisateurs.
Ils doivent connaître les particularités et les exigences spécifiques d'une multitude d'applications, souvent mieux que leurs utilisateurs. Les experts en sécurité d'aujourd'hui ne ressemblent plus à des médecins généralistes, mais plutôt à des chirurgiens vasculaires.
Ils sont souvent spécialisés dans un aspect particulier de la pile de sécurité complexe que nous trouvons aujourd'hui dans les entreprises : Sécurité des systèmes d'exploitation, pare-feu ("Application-Aware, Next Generation", bien sûr), IDS/IPS, authentification multi-facteurs, cryptographie, sécurité des bases de données, sécurité du cloud et bien d'autres choses encore.
La sécurisation d'infrastructures informatiques d'entreprise complexes et hétérogènes nécessite donc généralement toute une série de ces spécialistes de la cybersécurité hautement spécialisés.
Cette véritable armée de défenseurs informatiques doit cependant être recrutée et formée quelque part et, dans l'idéal, disposer de plusieurs années d'expérience pertinente avant que les RSSI ne leur confient la protection des systèmes informatiques critiques de l'entreprise. Malheureusement, il n'existe que très peu d'offres dans le milieu académique qui s'adressent spécifiquement à la thématique de la sécurité informatique ou même expressément à la cybersécurité.
Enseignement et recherche
Ce manque d'offres de formation non commerciales crée un problème auquel de nombreuses entreprises sont aujourd'hui confrontées : Il n'y a tout simplement pas assez d'experts en cybersécurité !
L'ISACA (Information Systems Audit and Control Association), une association d'experts internationaux dans le domaine de l'audit des systèmes informatiques, a prédit dès 2016 qu'il manquerait deux millions de professionnels de la cybersécurité dans le monde d'ici 2019. Au vu de l'augmentation inattendue des attaques de piratage, de la propagation de logiciels malveillants et des vols de données, le chiffre réel sera encore plus élevé.
Pour les personnes intéressées par la technique, ce vide de savoir-faire en matière de cybersécurité signifie à son tour des possibilités de promotion professionnelle intéressantes, des salaires attrayants et le choix presque libre de lieux de travail passionnants, car la demande en experts en cybersécurité croît déjà environ trois fois plus vite que la demande générale en personnel qualifié dans le segment informatique. La sécurité est devenue une priorité durable.
Ces perspectives réjouissantes sont à mon avis encore bien meilleures si les futurs experts en cybersécurité en question se spécialisent de la même manière que les chirurgiens cérébro-vasculaires : en tant qu'experts en cybersécurité SAP - progression de carrière garantie dans le domaine de la sécurité !
DE
EN
ES
FR
