Cybersécurité : faire de l’humain une force

Cybersécurité : faire de l’humain une force

Copyright : Airbus defense and space

Profusion de précautions, systèmes de sécurité de pointe, offres d’outils de protection multiples, … nous avons à notre disposition d'abondants moyens techniques pour nous défendre des diverses attaques cyber. Des attaques qui ont un coût et qui ne cessent de devenir de plus en plus perfectionnées. La plupart du temps, les défaillances sont d’ordre humain. Mauvaise connaissance des moyens de lutte contre la cybercriminalité ou tout simplement pas de prise de conscience, l’humain est souvent décrié. Or c'est justement l’aspect humain qui doit au contraire être placé au cœur du dispositif et devenir une force. Mais comment cet aspect est-il abordé ? Se donne-t-on réellement les moyens d'en faire une force ?

La numérisation de la société ne cesse de croître. Elle est présente dans notre quotidien et dans tous les secteurs : services, objets, métiers… Si cette transition numérique est porteuse de croissance et d’innovation, elle est potentiellement un risque pour l’utilisateur, l’entreprise ou l’État. Et cela coûte cher. Selon une étude de l’Institut Ponemon pour IBM réalisée l’année dernière auprès de 350 entreprises dans 11 pays, le coût total consolidé moyen d’une violation de données est de 3,8 millions de dollars, ce qui représente une augmentation de 23 % depuis 2013. Souvent pointés du doigt, la négligence, l’erreur humaine ou encore le manque de prise de conscience individuelle et collective des risques liés à la numérisation restent insuffisants et sont mis en avant dans l’insécurité cyber.

La lutte commence par la sensibilisation et la formation

Insister sur la prise de conscience, développer les formations, c’est l’un des aspects proposés par la Stratégie nationale pour la sécurité du numérique, résultat de travaux interministériels coordonnés par l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information,  et qui est destinée à accompagner la transition numérique de la société française. Elle se calque sur les nouveaux enjeux engendrés par les nouvelles évolutions des usages numériques. L’un de ses cinq objectifs comprend la sensibilisation et la formation à la cybersécurité.

Sensibiliser commence dès le plus âge, à l’école. Cela débute par un comportement responsable dans le cyberespace. Plusieurs initiatives seront lancées sous la responsabilité du ministère de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche et du secrétariat d’État au Numérique, en insistant sur la formation.

Car la formation est sans doute le point sur lequel les efforts doivent être réalisés. Elles sont encore insuffisantes même si, depuis peu, elles apparaissent de plus en plus dans les écoles d'enseignement supérieur. Et pourtant, elles représentent le premier pas vers la sensibilisation et la lutte contre la cybercriminalité aussi bien pour le spécialiste cyber que pour le salarié simple utilisateur informatique. Nombre d’entreprises cherchent à former leur personnel aux questions de la sécurité informatique. Une entreprise qui sensibilise ses collaborateurs diminue de 76 % ses dépenses liées à la cybersécurité. Les cyberattaques représentent un coût d’environ 400 milliards de dollars par an pour l’économie mondiale.

Les erreurs humaines sont à l’origine des trois incidents types les plus fréquents : perte de services essentiels, vol ou disparition de matériel, panne d’origine interne. Pourtant, 77 % des salariés français pensent que leur comportement n’a pas d’incidence sur la sécurité des données de l’entreprise…

Faire de l’humain un maillon fort

Pour cela, les entreprises ont compris que la sécurité ne se limitait pas à la dimension technique qui intervient après l’attaque. Sa réussite passe d’abord par la sensibilisation des utilisateurs eux-mêmes. Elle se tournent donc de plus en plus vers des établissements offrant une formation continue. Chez Epita, école d’ingénieurs en informatique en région parisienne, une structure SecureSphere a créé en 2013 une formation de sensibilisation. Sa particularité est de placer l’humain au cœur du dispositif car « il est l’élément clé du dispositif, explique Marie Moin, responsable de cette formation. On ne doit pas voir l’humain comme un maillon faible de la sécurité mais comme celui qui va permettre à l’entreprise d’améliorer la sécurité globale et comme un vecteur de développement de l’entreprise. » Ce serait comme laisser la sécurité routière aux seuls constructeurs automobiles. La voiture peut être très performante, si le conducteur n’a pas un comportement correct, cela ne sert à rien.

Donc, progressivement, les établissements d’enseignement supérieur se structurent pour délivrer des formations qui répondent aux besoins du marché de l’emploi. Car la recherche de personnel qualifié et formé aux nouvelles spécificités de ce domaine est devenue essentielle pour les entreprises afin de faire face à la menace cyber. En plus d'une sensibilisation des salariés, les entreprises orientent aussi leur recrutement vers des professionnels spécialisés, emploi-pilier de l’entreprise. Les offres d’emploi dans la cybersécurité sont nombreuses. Paradoxe : on peine à recruter. En 2014, 1 000 à 1 200 personnes ont été recrutées alors que les jeunes diplômés ne sont que 200 à 300. Le marché de l’emploi semble déséquilibré entre l’offre et la demande alors que les problèmes de cybersécurité s’accroissent avec le développement numérique.

 On embauche de geek à Bac + 5

Pourquoi donc les entreprises peinent-elles à recruter dans ce domaine ? D’aucuns mettront en avant le manque de formation en France ou le fait qu’il est difficile de présenter les métiers de la sécurité informatique de manière globale tellement ce secteur est vaste. Plusieurs catégories de métiers existent. Elles sont classées en deux groupes. Le premier concentre tous les métiers liés à la sécurité dite logique (tests de la vulnérabilité d’un système…) et le second regroupe les spécialités de la sécurité organisationnelle (fonction RSSI-Responsable de la sécurité des systèmes d’information, RPCA - Responsables des plans de continuité d’activité...). Ainsi, ingénieurs, analystes, développeurs, veilleurs… sont invités à rencontrer les recruteurs. L’ANSSI, qui propose actuellement 70 offres d’emploi, met en avant des qualités certes techniques, mais aussi la curiosité et la motivation. Le niveau requis est de Bac + 5. Il n’est pas rare aussi de voir postuler un geek sans diplôme, susceptible d’intéresser les recruteurs. Ce métier d’avenir est rémunéré dans le privé entre 35 et 40 K euros par an en début de carrière. Le candidat intégrant le service public aura un salaire défini en fonction de ses diplômes.

L’humain est donc essentiel à tous les niveaux. Il englobe un comportement responsable face aux menaces cyber qui passe par la sensibilisation des personnes. Il consiste aussi à pouvoir accéder aux formations qui permettront de recruter des jeunes aguerris aux nouvelles techniques et compétents pour ces nouveaux métiers en pleine expansion. Plus que jamais, l’homme est au centre de la lutte contre la cybercriminalité et prend une place capitale quelle que soit sa place au sein de l'entreprise ou de la société.

 

 


PrécédentAccueilSuivantPartager