Offre Cybersécurité entreprises: une crise de compétences disponibles

Pourquoi la cybersécurité est-elle devenue indispensable pour les entreprises ?

Vous vous demandez peut-être en quoi la cybersécurité pourrait être indispensable aujourd’hui aux entreprises ?  Un pare-feu et un logiciel anti-virus ne suffisent-ils pas ?

En fait non.

Avec l’explosion de la transformation digitale, les entreprises ont besoin de professionnels de la cybersécurité qui disposent de connaissances actualisées sur les meilleurs langages de cyberprogrammation et les mesures de sécurité à prendre.

Des spécialistes qualifiés sont nécessaires pour aider à la surveillance des réseaux, à la formation des employés, à la création de plans de continuité des activités, et bien plus encore.

Dans les cabinets de conseil en transformation digitale avec une offre cybersécurité, des experts sont nécessaires pour analyser les menaces et concevoir des moyens de s’en protéger.

Cependant à l’heure actuelle, il existe une importante pénurie de spécialistes qualifiés en cybersécurité.

 

Configuration et surveillance des réseaux

Les réseaux correctement configurés sont particulièrement importants maintenant que de plus en plus d’entreprises ajoutent des dispositifs à l’Internet des objets (IoT).

Du coup, les entreprises ont un besoin croissant de personnes qui savent comment configurer les réseaux pour une pénétration minimale.

Chaque appareil connecté au réseau est un point d’accès que les pirates peuvent utiliser pour s’introduire.  C’est l’un des premier bénéfice d’une offre cybersécurité aux entreprises.

Ces appareils dits intelligents ne sont pas égaux en matière de sécurité.

Comme il n’existe aucune norme de sécurité pour l’IdO, les entreprises ont besoin de moyens pour segmenter leurs réseaux afin de limiter la pénétration en cas de violation.

Elles ont également besoin de personnes capables de surveiller l’activité du réseau pour détecter les tentatives non autorisées, voire une attaque par force brute.

La cybersécurité des réseaux des entreprises devient de plus en plus préoccupante à mesure que l’IoT se développe.

Configurer et surveiller un réseau, ce n’est plus regarder les performances et la capacité.  Il s’agit aussi de savoir comment configurer un réseau pour limiter les brèches via des comptes invités ou des employés à distance. C’est ce

Les entreprises veulent offrir des possibilités de Wi-Fi gratuit et de travail à distance, mais elles ne sont pas conscientes des risques de sécurité associés à ces fonctionnalités.  On ne saurait trop insister sur l’importance de la cybersécurité dans les entreprises.

 

Formation technique des employés

L’éducation en cybersécurité des employés est plus qu’une simple formation.  Il s’agit d’aider le personnel non technique à comprendre comment fonctionnent les cyberattaques et comment les éviter.

La plupart des gens connaissent les attaques basiques de cybersécurité comme phishing et ransomware.  Pourtant les attaques aujourd’hui sont plus sophistiquées que l’oncle disparu depuis longtemps qui vous a laissé une fortune.

Le manque d’éducation des employés est l’une des plus grandes préoccupations en matière de cybersécurité.

Découvrez les points de vigilances pour votre entreprise: cybersécurité-inovency.com

 

En septembre 2019, le FBI avait déjà indiqué que les compromissions d’e-mails d’entreprises (Business Email Compromise) dépassaient 26 milliards de dollars en pertes réelles.

De nombreuses entreprises et employés n’ont jamais entendu parler des Business Email Compromise (BEC), et savent encore moins comment les détecter.

Montrer aux employés comment ajouter un “s” à la fin du nom d’une entreprise ou insérer une initiale dans le nom de quelqu’un peut être facilement négligé, mais finit par laisser les mauvais acteurs entrer dans le réseau.

Les spécialistes de la cybersécurité aident les entreprises à mettre en place des politiques permettant de contrer une éventuelle attaque.  Les BEC incitent les employés à transférer de l’argent sur un faux compte.

 

Une fois sur le faux compte, l’argent est réparti entre plusieurs banques offshore, ce qui rend impossible le recouvrement des fonds.

Même des entreprises aussi importantes que Google et Facebook ont été prises dans une arnaque BEC.  C’est pourquoi la cybersécurité est importante.

 

Plans de continuité des activités

La cybersécurité aide les entreprises en participant à l’élaboration de plans de continuité des activités.  Les entreprises doivent disposer d’un plan de continuité en cas de violation de données, tout comme elles le font en cas de catastrophe naturelle ou d’autres événements catastrophiques.

Les violations de données ou autres cyberattaques ont des ramifications financières importantes. Le coût moyen d’une violation de données pour les petites et moyennes entreprises est d’environ 200 000 dollars.

Ce qui est encore plus décourageant, c’est que 60 % des petites entreprises font faillite dans les six mois suivant une attaque.

Les entreprises de toutes tailles doivent avoir accès à des experts en cybersécurité, qui peuvent les aider à atténuer les coûts financiers d’une violation de la sécurité.

 

La cybersécurité peut aider les entreprises à survivre.

 

Les plans de continuité des activités peuvent réduire les coûts d’une cyberattaque réussie grâce à des sauvegardes ou à des emplacements de données alternatifs.

Ils peuvent inclure les exigences en matière de rapports selon le secteur d’activité et ce que les employés doivent faire si une violation est détectée.

Des experts en cybersécurité bien informés peuvent aider les organisations à réduire leurs coûts en minimisant l’impact de la cybersécurité sur les entreprises.

Les pertes financières ne sont pas toutes dues à la violation elle-même.  D’autres facteurs peuvent entrer en jeu.

Par exemple, un rapport d’IBM a révélé que le coût moyen d’une violation importante des données aux États-Unis est de 3,9 millions de dollars.  Ce chiffre comprend le coût de l’assistance juridique et réglementaire, par exemple.

IBM a également pris en compte la perte de clients, la rotation du personnel et la perte de fidélité à la marque dans le coût total d’une violation de données.

Grâce à un plan de continuité des activités en cas de violation des données, une entreprise peut réduire l’impact financier d’une attaque.

 

Confinement et récupération

Les experts en cybersécurité sont formés aux meilleures pratiques pour contenir et récupérer une cyberattaque.

Par exemple, un récent ransomware, connu sous le nom de Ryuk, attaque les bords d’un réseau, le réseau principal et toutes les sauvegardes.

En fait, il attaque d’abord les sauvegardes.  Si une entreprise continue à placer ses sauvegardes sur le même réseau que son système principal, les pirates pourront accéder aux deux.  L’entreprise n’a donc pas d’autre choix que de payer la rançon.  Très peu de virus de type ransomware ont des clés connues pour récupérer le système.

Les entreprises ont besoin de spécialistes de la sécurité qui peuvent les aider à minimiser l’impact d’une cyberattaque.

Une fois le processus de récupération entamé, le spécialiste de la sécurité peut aider à rassembler des preuves de l’incident.  Ces informations peuvent aider à résoudre l’incident et à engager des poursuites.

Avec une formation adéquate, le personnel de sécurité peut identifier et suivre la trace d’un pirate informatique.  Trouver les cybercriminels est une autre façon dont la cybersécurité aide les entreprises.

 

La cybersécurité devient un enjeu de ressources humaines.

Ce n’est qu’une question de temps avant qu’une cyberattaque ne frappe une entreprise.  Sans spécialiste de la sécurité, l’attaque aura toutes les chances de réussir.

Malheureusement, cela risque d’arriver si davantage de personnes ne poursuivent pas une carrière dans la cybersécurité.

Alors quelles compétences sont aujourd’hui disponibles pour la assurer la Cybersécurité des entreprises ?

Selon Cybersecurity Ventures, il y avait 3,5 millions d’emplois non pourvus en cybersécurité en 2021.

Le nombre de diplômés en cybersécurité double, sans résoudre la crise des compétences.

Alors de quelles compétences parle-ton pour la assurer la Cybersécurité des entreprises ?

Un article de Znet du 29 novembre 2021 est particulièrement intéressant.

Nous le traduisons quasiment in extenso ici  car il est très éclairant d’un phénomène qui est mondial, et touche de plein fouet le continent européen.

Nous y lisons la confirmation que la pénurie de compétences en matière de cybersécurité est un sujet d’actualité dans l’Union européenne.

Nous apprenons aussi que si cette pénurie pourrait être partiellement comblée par un afflux de nouveaux diplômés – même cette solution potentielle n’est pas sans poser problème.

L’un des problèmes majeurs actuels pour les entreprises est l’inadéquation entre l’offre et la demande de personnel de cybersécurité.

L’ENISA, l’agence transnationale de l’UE chargée de la cybersécurité, vient d’attirer l’attention sur le problème persistant de l’offre sur le marché du travail et affirme qu’il ne sera pas résolu malgré un doublement du nombre de diplômés au cours des deux prochaines années.

“Le nombre de travailleurs qualifiés et compétents ne suffit pas à répondre à la demande, et les marchés du travail nationaux sont perturbés dans le monde entier, y compris en Europe, en conséquence”, indique l’ENISA dans un nouveau rapport.

“Le nombre de diplômés dans les 2-3 prochaines années devrait doubler. Cependant, l’équilibre entre les sexes reste un problème avec seulement 20% d’étudiantes inscrites.”

La concurrence du marché libre pour les professionnels de la sécurité a également un impact sur l’offre d’expertise au secteur public et aux banques centrales, qui ne paient pas autant que les banques et les compagnies d’assurance.

L’ENISA sépare les termes “déficit de compétences” et “pénurie de compétences” en matière de cybersécurité dans un nouveau rapport qui explore les moyens de résoudre le problème. Le premier fait référence à un manque de compétences appropriées au sein de la main-d’œuvre pour effectuer des tâches de cybersécurité dans un cadre professionnel.

La seconde fait référence aux “postes vacants non pourvus ou difficiles à pourvoir qui sont apparus en raison d’un manque de candidats qualifiés pour les postes.”

L’ENISA indique qu’il existe 126 programmes d’enseignement supérieur de 25 pays qui répondent à la définition de l’UE d’un programme de cybersécurité. Par exemple, un diplôme de master exige qu’au moins 40 % des modules enseignés traitent de sujets liés à la cybersécurité. En utilisant cette définition, les qualifications de niveau master constituent 77% de la base de données de l’ENISA sur l’enseignement supérieur en matière de cybersécurité (CyberHEAD).

L’apprentissage à distance est devenu la norme pendant la pandémie. Pourtant, l’ENISA a constaté que seuls 14 % des programmes de cybersécurité de l’enseignement supérieur sont purement en ligne, tandis que 57 % ne sont dispensés qu’en classe et 29 % sont un mélange d’apprentissage en face à face et en ligne. L’apprentissage en ligne peut contribuer à réduire les obstacles géographiques à l’entrée, affirme l’ENISA.

La langue est un autre obstacle à l’entrée en cybersécurité.

Parmi les programmes de l’UE inclus dans la base de données, il y avait 16 langues, dont 38 % étaient enseignées en anglais, 17 % en espagnol, 11 % en allemand, 7 % en italien, 5 % en français, 4 % en grec et 4 % en portugais.

L’ENISA affirme qu’un “pourcentage encore plus élevé de programmes basés sur l’anglais présente également des avantages supplémentaires” en produisant des diplômés capables d’interagir dans un contexte international.

Les frais universitaires constituent une autre barrière à l’entrée. Quelque 71 % des programmes exigent des frais d’inscription.

En ce qui concerne le placement des nouveaux diplômés dans les secteurs privé et public, l’ENISA a constaté que les stages obligatoires ne faisaient partie que de 34 % des programmes européens. Seuls 23 % des programmes préparaient les étudiants à des certifications professionnelles spécifiques, telles que CISSP, ISO 27001 et CompTIA Security+.

En ce qui concerne la question du genre, les femmes ne sont représentées à plus de 20 % des programmes de cybersécurité que dans six pays de l’UE :

  • Roumanie (50 %),
  • Lettonie (47 %),
  • Bulgarie (42 %),
  • Lituanie (31 %),
  • France (20 %) et
  • Suède (20 %).

“Malheureusement, ces statistiques signifient que, dans l’ensemble, la plupart des programmes des EES en Europe ont des niveaux particulièrement bas de diversité de genre”, note l’ENISA.

L’ENISA a formulé plusieurs recommandations pour remédier à la pénurie et au manque de compétences en cybersécurité dans l’UE :

– Augmenter les inscriptions et les diplômés dans les programmes de cybersécurité en diversifiant le contenu, les niveaux et les langues utilisés dans les programmes d’enseignement supérieur.

– offrir des bourses d’études, en particulier pour les groupes sous-représentés, et promouvoir la cybersécurité comme un domaine diversifié

– adopter un cadre commun pour les rôles, les compétences, les aptitudes et les connaissances en matière de cybersécurité

– promouvoir les défis et les concours en matière de compétences en cybersécurité

– Accroître la collaboration entre les États membres pour partager les résultats des programmes et les enseignements tirés.

– soutenir l’analyse des données démographiques (y compris la diversité) des nouveaux étudiants et diplômés en cybersécurité.

 

 Alors que peuvent faire les entreprises pour recruter talents et compétences en cybersécurité?

Dans un contexte de pénurie grave et persistante de compétences en cybersécurité, les cabinets de conseil en  transformation digitale et cybersécurité et les services informatiques internes des entreprises ont du mal à recruter des talents .

Cela est encore souvent dû aux budgets, car trop organisations n’ont pas accordé la priorité nécessaire à la cybersécurité, malgré le nombre croissant d’attaques médiatisées.

Mais même celles qui ont un budget adapté et versent des salaires élevés constatent que les rémunérations généreuses ne suffisent toujours pas à embaucher et à retenir les talents dans ce domaine. Si 33 % des RSSI interrogés par l’ISSA ont déclaré que le salaire était la raison pour laquelle ils avaient quitté une organisation pour une autre, cela n’explique pas la plupart des départs ou des changements de poste.

En effet, malgré les salaires élevés, de nombreux professionnels de la cybersécurité en poste se sentent dépassés et soumis à une pression intense. Ceci serait dû à la fois à ce qu’ils manquent de personnel et à ce que les enjeux de leur travail sont encore plus élevés aujourd’hui avec l’augmentation du nombre et de la gravité des attaques.

L’enquête de l’AISS a ainsi montré que 62 % des employés chargés de la cybersécurité sont confrontés à une charge de travail plus lourde parce que leur organisation n’est pas en mesure d’embaucher suffisamment de personnel, et 38 % disent se sentir épuisés.

Si l’argent ne suffit pas, que peuvent faire les entreprises pour attirer et conserver les talents en matière de cybersécurité ?

Attirer des talents en s’attachant à des descriptions de poste qui mettent en valeur les compétences que les employés vont acquérir, et pas seulement celles qu’ils doivent appliquer.

La cybersécurité est un domaine dynamique en pleine expansion qui offre de nombreuses possibilités. Mais ce domaine, de par sa nature même, exige que les meilleurs professionnels apprennent constamment sur le tas pour se tenir au courant des dernières technologies et des derniers types de menaces et d’attaques. En informant les candidats du type de choses qu’ils apprendront sur le tas et des expériences qu’ils acquerront, une entreprise peut se distinguer et offrir la valeur ajoutée de la croissance professionnelle, ce qui lui donne un avantage dans le processus de recrutement. L’Offre cybersécurité entreprise est alors dans le camp de l’entreprise

Regarder au-delà de la formation théorique.

Les diplômes universitaires en cybersécurité et dans les domaines connexes sont utiles, mais ils ne sont pas le seul moyen de devenir qualifié pour un emploi dans le secteur.

Si quelqu’un n’a pas de diplôme, cela ne signifie pas qu’il ne sera pas un excellent candidat, surtout s’il possède l’expérience pertinente. Cela vaut également pour les personnes issues de l’armée ou du gouvernement. En fait, avec l’augmentation des cyberattaques soutenues par des États, tout niveau d’expérience en matière de cybersécurité dans des organisations gouvernementales ou militaires constitue un avantage considérable et peut être plus précieux que ceux qui ont des diplômes universitaires ou des années d’expérience en entreprise. Un certain nombre de nouveaux programmes, dont un soutenu par Microsoft, promettent également d’offrir une formation sans nécessairement délivrer de diplômes ; ce sont également des titres de compétences intéressants pour les candidats.

Enseigner et encadrer sur le terrain.

Les organisations doivent prendre conscience que les employés actuels de leur service informatique et des services connexes peuvent être en mesure, moyennant une formation adéquate, d’acquérir des compétences en matière de cybersécurité. Cela peut être un moyen de constituer une équipe de cybersécurité en interne. Les personnes qui reçoivent une formation en interne devraient également se voir attribuer des mentors qui peuvent les aider en cours de route. La constitution d’une équipe en interne donne aux employés la possibilité de se développer, ce qui peut également conduire à une plus grande satisfaction au travail et à une meilleure rétention.

Intégrer la cybersécurité dans la stratégie globale de l’entreprise et le faire savoir aux recrues.

Les entreprises doivent impliquer l’équipe de cybersécurité dans toutes les étapes de leur activité, du développement des produits au marketing, et ne pas la reléguer aux seules interventions en cas d’incident ou lorsque quelque chose ne va pas.

Les organisations doivent également encourager les employés chargés de la cybersécurité à proposer de nouvelles idées et stratégies qui contribueront à protéger l’entreprise. Laissez-les créer le changement, le cas échéant, plutôt que de se contenter d’appliquer ou de suivre les protocoles. En outre, les progrès en matière de cybersécurité devraient être reconnus au niveau de l’organisation et communiqués à tous les niveaux de l’entreprise. Cette reconnaissance permettra aux employés chargés de la cybersécurité de se démarquer réellement et se traduira par une grande satisfaction professionnelle.

Un aspect au cœur de toutes ces mesures est de considérer la cybersécurité comme faisant partie intégrante de toute organisation et de donner aux professionnels de la cybersécurité la possibilité de réellement aider les entreprises à se développer et à réussir.

De nombreuses organisations ont tendance à considérer la cybersécurité comme quelque chose d’isolé du reste de leurs activités ; changer cette attitude aidera non seulement une organisation à mieux se protéger, mais en fera également un lieu de travail plus attrayant pour les professionnels de la cybersécurité recherchés et talentueux.

Faire appel à un cabinet de conseil en transformation digitale avec une spécialité réelle en cybersécurité

Un cabinet de conseil en transformation digitale met à votre disposition un équipe et toute son expertise en matière de cybersécurité pour des missions court ou moyen terme.

Faire appel à cette aide externe est toujours bienvenue pour un diagnostic et des mesures adaptées afin que que la sécurité numérique ne soit plus une source d’inquiétude.

C’est le cas de notre cabinet de conseil INOVENCY qui vous accompagnera sur un Plan cybersécurité adapté.

Selon le niveau de protection, le rôle d’un cabinet de conseil sera de en place les conditions et les mesures adaptées grâce à une offre cybersécurité adaptée à votre entreprise.

No Comments

Sorry, the comment form is closed at this time.