SLUIT MENU

Cybersécurité : une urgence sans concession (et une crise des talents)

La cybercriminalité est devenue une menace sérieuse pour notre économie. La sensibilisation massive dans les entreprises, les reconversions et la formation de talents sont indispensables. Focus sur une urgence sociétale et professionnelle.

6000 milliards de dollars. Les chiffres font froid dans le dos et, pourtant, ils pourraient encore être bien pires. Ce chiffre, c’est ce qu’aurait coûté la cybercriminalité au niveau mondial en 2021. Une augmentation de plus de 6 fois la valeur observée l’année précédente (1000 milliards de dollars en 2020).

Un large terrain de jeu

Un chiffre qui, selon les experts, n’est pas tellement étonnant. “Depuis quelques années, nous connaissons une ultra digitalisation de la société”, explique Axel Legay, professeur et chercheur en cybersécurité à l’UCLouvain. “Résultat : nous avons considérablement augmenté la surface d’attaques des hackers dans tous les domaines de la vie privée et publique”. Aujourd’hui, c’est bien simple, il est tout autant possible de pirater un système de chauffage qu’un hôpital.

Nous assistons en effet à une crise de talents considérable. Et ce, pas seulement en cybersécurité, mais dans tout le secteur digital.

Crise de talents

La récente pandémie de Covid-19 (avec la généralisation du télétravail) et la guerre en Ukraine (de par l’étendue du conflit au domaine digital) ont aggravé cette situation d’insécurité. Mais le nœud du problème est bien plus profond que cela. “Nous assistons en effet à une crise de talents considérable. Et ce, pas seulement en cybersécurité, mais dans tout le secteur digital”, poursuit Yvan Huque, directeur du centre Technofutur TIC. Or, qui dit crise de talents, dit risque d’absence d’experts pour parer les éventuelles menaces.

Rien qu’en Wallonie, cela équivaut à 15 000 postes supplémentaires en cybersécurité et 55 000 en IT.

La Belgique en retard

Si certains états sont mieux préparés comme Israël, l’Ukraine, la Chine ou les Etats-Unis, d’autres ont accumulé un retard considérable. La Belgique au même titre que les Pays-Bas ou la France font partie des grands retardataires en termes de disponibilité de spécialistes. Et ce, même si la qualité de la cybersécurité, en soi, n’est pas vraiment à plaindre. “Pour être à niveau aujourd’hui, il faudrait multiplier le nombre d’experts disponibles par 4 ou 5. Rien qu’en Wallonie, cela équivaut à 15 000 postes supplémentaires en cybersécurité et 55 000 en IT”.

Personne n’est à l’abri

La cybercriminalité est un fléau qui gangrène donc fortement l’économie. Qu’on se le dise, se prémunir contre une cyberattaque coûte bien moins cher que de réparer les pots cassés. “D’ailleurs, il ne faut pas se voiler la face. Actuellement, la question n’est plus de savoir “si” l’on va subir une attaque, mais “quand” cela va arriver”, avance Yvan Huque.

“Tout le monde est concerné”. Pour seul exemple, environ deux tiers des attaques dans le monde viserait le secteur public alors que deux à trois entreprises subiraient un piratage réussi par jour (environ 1000 réussis par an, mais des millions de tentatives dans le même laps de temps). Si les grosses entreprises ou multinationales ont souvent les moyens de se protéger, leurs fournisseurs et les PME, quant à eux, sont une proie de premier choix et une porte d’entrée facile vers les infrastructures plus sécurisées.

L’erreur humaine : la cible parfaite

Mais alors, comment endiguer ce problème de société majeur ? Comme dans toute situation complexe, il n’y a pas de solution miracle. Mais une première réponse serait sans aucun doute une sensibilisation massive des personnes concernées. Le maillon faible d’une organisation étant toujours le facteur humain. “Au sein d’une organisation, il est impératif d’augmenter le nombre de personnes comprenant les enjeux de la cybersécurité”, explique Yvan Huque. Pour l’expert, cela passe par trois types de plans différents :

  • un plan de formation réduit : en formant les membres de la direction, de la communication et du service RH  (2-3 jours de formation au maximum), ces derniers seront en mesure d’implémenter un plan de prévention au sein de leurs infrastructures.
  • un plan de prévention : ce plan comporte une liste de points d’attention à l’égard de tous les membres du personnel. “Grâce à cette liste, tout le monde peut évaluer les risques encourus pour chaque action digitale posée. Cela prend du temps, mais c’est plus que nécessaire”.
  • un plan de gestion de l’incident : la probabilité d’une attaque étant quasiment certaine, il faut être préparé à réagir. Que l’on fasse appel à des ressources en interne ou que l’on externalise ce pan de compétences, cette mesure est indispensable. Tout comme l’est le fait de prévenir les autorités. “D’autres entreprises pourraient en effet être la cible des mêmes pirates”.

Axel Legay souligne également qu’il est impératif de complémenter cette approche par la création et le déploiement d’outils de sécurité. Un point majeur qui implique la recherche et l’innovation. Un domaine dans lequel les Belges excellent cependant selon lui.

L’une des solutions phares pour répondre au problème de cybercriminalité réside dans la formation des nouveaux talents.

Former sans compter !

L’une des solutions phares pour répondre au problème de cybercriminalité réside dans la formation des nouveaux talents. En théorie, cela paraît simple. Mais dans les faits, c’est bien plus compliqué. Si la qualité de nos formations belges n’est pas à remettre en question, ces dernières seraient pourtant bien trop disséminées sur le territoire.

“Face à une telle situation d’urgence, il faut pouvoir parler d’une seule et même voix, au niveau régional par exemple”, propose Axel Legay. De plus, les moyens dont disposent les centres de formation sont fortement limités. Or, faut-il rappeler que tous les métiers du digital sont en pénurie ? “Dès lors, soit on augmente l’enveloppe budgétaire attribuée à l’ensemble des formations du secteur, soit on privilégie certaines sous-catégories par rapport à d’autres”.

Également en pénurie, les formateurs sont aussi trop occupés sur le terrain et bien mieux payés en tant que consultants en sécurité dans les entreprises.

Pénurie de talents…et de formateurs

Reste le problème de la disponibilité des formateurs. Également en pénurie, ils sont aussi trop occupés sur le terrain et bien mieux payés en tant que consultants en sécurité dans les entreprises. “Une solution serait de demander aux organisations, elles-mêmes, d’investir dans les centres de formation”. Après tout, elles  seront les premières à bénéficier des retombées positives d’un tel investissement.

L’obsolescence des compétences : késako ?

Un autre frein majeur au développement de la cybersécurité en Belgique réside dans la vision dépassée que l’on a du secteur. “Nous sommes dans une société de l’ultradiplôme alors que la cybersécurité est aussi et surtout un domaine où l’on se forme sur le terrain”, explique Axel Legay. Un domaine qui ne peut d’ailleurs se passer de formation continue tout au long d’une carrière et qui est fortement soumis à l’obsolescence des compétences

“Avant les années 70’, la durée de vie des compétences que l’on acquérait durant sa formation initiale égalaient généralement celle d’une carrière”, explique Yvan Huque. “Aujourd’hui, en cybersécurité, cette durée de vie ne dépasse pas quelques semaines ou quelques mois”. On comprend dès lors que l’idée de former des étudiants une fois pour toute durant 5 ans apparaît comme une idée absurde qu’il faudrait corriger au plus vite.

Selon les experts, l’allocation de crédit de formation durant la carrière ou la valorisation de la formation en alternance sont des pistes de solution. “Mais il en va de la responsabilité de l’État et des entreprises pour réorganiser l’enseignement”, insiste Yvan Huque.

À la pêche aux pirates et aux vieux briscards

Attendre que les nouveaux talents sortent de l’école pour profiter de leurs compétences peut prendre du temps. “Surtout si le marché du travail reste aussi rigide qu’il ne l’est actuellement dans ses demandes”, explique Axel Legay. “En effet, la plupart des entreprises ne sont toujours pas prêtes à engager un expert en cybersécurité s’il n’a pas minimum 5 ans d’expérience”. En plus de l’enseignement, le monde du travail se doit donc également d’être plus flexible.

“Vu qu’il y a pénurie de jeunes talents, pourquoi ne pas aussi chercher des talents oubliés au sein de sa propre entreprise ?”. Des collaborateurs qui disposent déjà d’un haut niveau de formation et dont la reconversion pourrait être rapide et efficace. “Cela valoriserait les personnes et constituerait une solution à moindre coût pour l’entreprise. Ce recyclage, l’État pourrait également l’opérer dans le chef des pirates informatiques en quête de rédemption. “Il en existe beaucoup de ces génies qui ne réussiraient jamais un cours de math et dont on a pas décelé les qualités au bon moment”. Mais il n’est jamais trop tard pour corriger le tir. Une conclusion qui s’applique aussi au développement de la cybersécurité en Belgique.

Continuez sur votre lancée :

Photo by Alex Kotliarskyi on Unsplash

Bastien Craninx
Bastien Craninx est journaliste et copywriter freelance. Affamé d'histoires à raconter et exalté par les mots et leurs sonorités, il dévoue sa plume aux sujets d'hier et d'aujourd'hui. Particulièrement intéressé par le monde de l'entreprise, il aime en décortiquer les rouages et mettre en lumière ses évolutions, ses secrets, ses nouveautés. Voir tous les articles de #Bastien Craninx