L’exposition toujours plus importante de notre économie et de nos sociétés au numérique accroit le risque d’évènement cyber. Dernièrement, de nombreux cas de cyber attaques menées par des groupes criminels ont été rendus publics et se sont révélés particulièrement préjudiciables à notre tissu économique et étatique. Face à ce constat, une question demeure : comment mieux développer les compétences en cybersécurité pour anticiper, prévenir et, le cas échéant, répondre à ces cyber-attaques ?
Du conseil d’administration à la direction, de l’ouvrier au cadre supérieur, de l’informaticien au technicien, du community manager au sous-traitant, chaque acteur concourant à la vie de l’organisme doit être conscient des menaces, des enjeux, et des bons réflexes en cas d’incident. Chacun d’entre eux est, à son niveau, un cyber-défenseur ! Leur formation et leur entraînement continus, adaptés et régulièrement mis à jour sont essentiels.
L’étude menée par (ISC)2 Cybersecurity Workforce Study en 2020 fait état du panorama ci-dessous :
Cette estimation de la pénurie en compétences cyber est frappante : ce n’est pas moins de 3,12 millions d’individus qui manquent à l’appel dans le monde entier. Cette étude, qui se concentre sur les professionnels de la cybersécurité, confirme le besoin de poursuivre le développement, dans un avenir proche, de formations, initiales et continues, en cybersécurité. En parallèle de ces actions de formation, l’entraînement des collaborateurs et même des prestataires doit également être considéré comme une solution immédiate, adaptée et efficace. Pour assurer une couverture maximale des risques et renforcer l’organisation de manière continue, l’investissement doit donc être complémentaire entre formation et entraînement cyber. Si les solutions technologiques de cybersécurité et le durcissement en profondeur de l’infrastructure informatiques sont essentielles, elles ne peuvent, à elles seules, être un rempart suffisant face à la menace : le « bon sens » humain, parfois souligné comme étant le sempiternel « maillon faible », est pourtant un élément majeur de l’équation qui ne saurait plus être négligé.
Investir concrètement et habilement
En 2018, Gartner livrait une analyse et annonçait déjà l’augmentation massive de l’investissement consacré à la cybersécurité. Selon eux, ce marché pourrait ainsi atteindre plus de 170 milliards de dollars en 2022. Cependant, qu’il s’agisse d’organismes publics ou privés, le bon équilibre des investissements entre solutions technologiques, audits, formation et entraînement, doit être recherché afin d’assurer un retour sur investissement à la hauteur des enjeux.
Si l’investissement des organisations en cyber sécurité doit, bien entendu, se traduire par un renforcement de la performance et de la couverture des outils de cyber sécurité, la formation et l’entraînement du personnel en charge de maîtriser et de maintenir ces outils souvent complexes sont essentiels. Le niveau de cybersécurité qui peut être apporté par ces outils peut rapidement se confronter à une configuration hasardeuse, à l’absence de mises à jour, à une sous-évaluation de la charge de travail induite ou encore aux changements de collaborateurs. La réalisation de cycles réguliers d’exercices et d’entraînements doit donc permettre aux organisations de renforcer, in fine, leurs capacités techniques et organisationnelles en investissant dans ce qui fait leur richesse : l’humain.
Un investissement utile est un engagement équilibré en termes de technologies et de ressources humaines.
« Il n’y a rien de pire que d’avoir une batterie d’outils non maîtrisés, non maintenus et qui s’avèrent être un gouffre financier et un talon d’Achille pour une organisation »
assène Guillaume PRIGENT (Président & Fondateur de DIATEAM)
Pour monter en compétences cyber, les organismes de formation et les écoles doivent mettre l’accent sur les deux fondamentaux que sont le développement logiciel et l’administration réseaux.
L’enjeu est donc bien de former et d’entraîner les équipes de collaborateurs pour améliorer leurs réflexes : l’ambition n’est donc pas d’en faire des pirates informatiques comme on peut le voir parfois, prenant possession de l’ensemble d’un réseau informatique en quelques lignes de codes obscures. Non ici, la réalité est toute autre, point de compétences innées, en définitive, il s’agit bien d’entraîner des femmes et des hommes pour qu’ils soient capables de s’adapter au contexte, aux évolutions sociétales comme le télétravail en groupe et aux crises, en apportant la réponse la plus efficiente possible aux menaces protéiformes : phishing, rançongiciel, attaque de la chaîne d’approvisionnement, compromission de l’intégration continue, etc.
Un esprit de corps et une bonne préparation cyber renforcent l’image de marque
Toute dynamique pérenne de numérisation d’une organisation ou d’un secteur ne saurait se faire sans investissement approprié sur sa cyber sécurité. Figures de proues de cette numérisation, les start-ups innovent, certes, mais parfois sans investir suffisamment sur la sécurité « by design », les enjeux calendaires étant parfois prioritaires. Or, sans une remise en question en profondeur des processus, des techniques de développement ou d’intégration, le risque est réel que cet oubli se rappelle à l’entreprise très rapidement, impactant ses ventes et son image de marque. Il en va de même pour les PME qui apprennent parfois à leur dépends, l’importance du renforcement préventif de leur cyber sécurité.
Innover, c’est prendre en compte sérieusement la cyber sécurité dès la conception des logiciels et exiger des critères en cyber sécurité avant d’acheter des solutions. Transformer cette contrainte en un atout commercial doit devenir une démarche native intégrée et assumée pour toute entreprise ou organisme conscient de l’importance de son image de marque. Et c’est en partie en incitant à la formation et à l’entraînement que des femmes et des hommes seront en capacité de mieux protéger à la fois le données des organisations (des PME) mais aussi les données personnelles de leurs utilisateurs, clients et citoyens.
Augmenter la fréquence de l’entraînement cyber, un enjeu régalien et européen.
La cyber sécurité est certes une filière qui crée des emplois mais elle facilite la croissance économique et renforce la résilience d’une économie et par conséquent d’une communauté. Pour combler le déficit de compétences en matière de cybersécurité, l’éducation en tant qu’institution doit investir concrètement dans l’apprentissage par la pratique et poursuivre le développement significatif des cursus en cyber sécurité.
La différence s’opérera donc au niveau des systèmes éducatifs, scientifiques et universitaires qui parviendront à développer leur offre de formations continues, voire de reconversion professionnelle, par la pratique pour permettre la montée en compétences cyber d’un partie plus large de la population.
La France et l’Europe doivent poursuivre leur effort pour garantir leur souveraineté sur ces enjeux stratégiques. A ce titre, l’Europe a multiplié les programmes dits H2020. Ces programmes, rappelons-le, visent à stimuler la coopération entre les organisations européennes pour bâtir des offres d’entraînement cyber à destination des opérationnels dans l’industrie et les universités. Cette dynamique se retrouve dans tous les secteurs y compris le maritime dont les spécificités cybernétiques méritent une attention et une mobilisation accrues.
L’entraînement cyber et ses facteurs de réussite
Soyons bien clairs, nul ne peut prétendre atteindre un niveau suffisant en cyber sécurité sans de bonnes bases dans les deux disciplines évoquées plus haut: le développement logiciel et l’administration réseaux. Ces deux pré-requis sont indispensables pour mieux comprendre les subtilités de la cybersécurité opérationnelle. Pour ce faire, il est hautement recommandé de s’entraîner sur des environnements les plus réalistes possibles. Être en capacité de répliquer tout ou partie d’un système IT ou OT permet de proposer les conditions idoines d’une pratique immersive. L’entraînement par la pratique revêt deux énormes avantages : l’organisation bénéficiaire crée de la valeur car elle forme son personnel, lequel protégera plus efficacement son patrimoine informationnel. Par ailleurs, individuellement, les employés s’épanouissent car leurs compétences opérationnelles se renforcent sans cesse et ils peuvent en tirer la satisfaction personnelle d’un travail qui échappe bien souvent à la routine et s’avère utile et passionnant.
Afin de tendre toujours vers l’excellence, l’entraînement cyber par la pratique se doit de proposer une variété de techniques et d’oppositions de manière à préparer les cyber défenseurs à une pluralité d’adversaires. C’est la raison pour laquelle la création de contenus et le réalisme des tactiques, techniques et procédures sont des facteurs hautement différentiants dans les parcours d’apprentissage.
De plus, soulignons que les espaces d’échanges d’informations, de discussions et de jeux (CTF attaque/défense et/ou OSINT) contribuent aussi fortement à nourrir une communauté passionnée de sécurité numérique. Les événements dédiés à la thématique sont des moments privilégiés pour toutes les personnes désirant apprendre de nouvelles techniques et méthodologies. Se remettre en question et sortir de sa zone de confort sont deux qualités éminemment requises pour s’épanouir et monter en compétence.
A terme, la cyber sécurité peut susciter des vocations comme c’est le cas pour les personnes qui, dès le plus jeune âge, aspirent à devenir sapeur-pompier. Évidemment, toute organisation ne peut avoir en son sein que des sapeurs pompiers mais plus il y aura de monde capable de prodiguer des soins de premiers secours voire d’utiliser un défibrillateur, plus il y aura de chances de réduire les dégâts d’un incident.
Aujourd’hui, monter en compétences en cyber sécurité permet d’explorer sans cesse de nouveaux terrains de jeu, de nouvelles problématiques, de réaliser des performances notamment quand il s’agit de participer à un effort défensif sous le feu d’une cyber attaque notamment grâce un environnement dédié : le cyber range.
Le Cyber Range, un terrain de jeu et de perfectionnement cyber incontournable
Aujourd’hui, les équipes opérationnelles des grandes organisations et administrations s’entraînent à réagir à des crises cyber afin de tester leurs capacités à répondre techniquement et collectivement à un ou plusieurs incidents. Grâce au cyber range ou « champ de tir numérique », les possibilités d’entraînement sont particulièrement larges et peuvent être travaillées avec plusieurs degrés d’intensité. La combinaison d’un cyber range et d’équipes de joueurs aux rôles bien définis contribue fortement à un entraînement cyber de qualité. Les défenseurs (la Blue Team) doivent combattre les attaquants (la Red Team) ce qui leur permet d’améliorer leur posture et de monter significativement en compétences.
Enfin, les possibilités d’emploi d’un cyber range dépassent le seul entraînement. Il permet aussi de prototyper, tester, éprouver, sécuriser, tester la mise à jour de systèmes ou/et d’équipements réseaux sans affecter la production. Dans le cadre d’une procédure d’achat, le cyber range peut aussi s’avérer précieux quand il s’agit de comparer plusieurs produits avant de passer commande tout comme il peut être utilisé pour tester les compétences de candidats ou de nouvelles recrues.
Nous avons coutume de dire qu’en matière de crise cyber, la question n’est pas de savoir si cela va arriver mais quand cela va arriver. D’où la nécessité de s’entraîner, de se préparer pour faire face à ces événements inéluctables. Alors, quoi de plus galvanisant que ce mot de ralliement de Madame la ministre des Armées, Florence Parly, à l’occasion de Paris Cyber Week 2021:
« Le cyber ne connaît pas de frontière. Notre horizon, c’est l’Europe. Nous devons nous entraîner ensemble pour être en mesure de réagir ensemble. Le cyber sera une des priorités de la présidence française de l’Union européenne. »
source : https://twitter.com/florence_parly/status/1402350869744701443