Frédéric Julhes, Directeur CyberSecurity France, Airbus Defence and Space
À mesure que les pirates enrichissent leur arsenal de moyens toujours plus sophistiqués, la fréquence et la gravité des cyberattaques ne cessent de s’intensifier. Malgré la sensibilisation accrue au phénomène et les investissements croissants pour mieux neutraliser les attaques, un problème subsiste : l’écart entre l’offre et la demande en expertise de cybersécurité continue de se creuser à un rythme alarmant. Ainsi, d’après une estimation récente, le nombre de postes non pourvus dans ce domaine pourrait atteindre 3,5 millions d’ici 2021. En dépit des efforts de l’ensemble du secteur, l’issue de la conquête du cyberespace demeure incertaine.
Pour combler l’écart, il faut désormais regarder au-delà des viviers de talents habituels
Comment inverser la courbe des recrutements de cybersécurité ? La question doit se poser. Au vu de la demande en spécialistes de la cybersécurité, il apparaît clairement que les jeunes diplômés dotés des compétences requises ne suffisent pas à pourvoir tous les postes vacants. Par ailleurs, parmi ces jeunes, rares sont ceux ayant déjà été confrontés à un environnement de sécurité réel, et possédant la confiance et l’expérience nécessaires à la gestion d’une attaque active. De plus, pour que l’étude des menaces s’enrichisse de points de vue différents afin de gagner en efficacité, il est essentiel que les effectifs de cybersécurité soient aussi diversifiés que possible et n’appliquent pas tous le même mode de pensée.
L’expertise technique pouvant s’acquérir avec le temps, il serait judicieux d’étudier des candidats de différents horizons, aux compétences et aptitudes transposables au domaine de la cybersécurité. Parmi ceux-ci, les anciens militaires présentent un profil idoine, car leur expérience situationnelle et concrète du champ de bataille peut parfaitement s’adapter à l’environnement de la cybersécurité. En outre, leur discipline et leur conscience professionnelle se révèlent précieuses dans un contexte commercial. Et surtout, ils sont formés à aborder chaque problème dans l’optique de prendre un temps d’avance sur l’adversaire.
Les méthodes de la cybersécurité, souvent calquées sur celles du monde militaire
Dans le contexte militaire, la connaissance de l’ennemi est essentielle pour remporter la bataille tactique. Il faut connaître les capacités de celui-ci, les respecter et faire en sorte de les neutraliser. Par exemple, le concept de boucle OODA élaboré par le stratège militaire John Boyd explique comment les hommes et les groupes peuvent triompher dans les environnements incertains et chaotiques. Les quatre lettres de l’acronyme correspondent aux étapes du processus décisionnel : observation, orientation, décision et action. Ce concept peut parfaitement s’appliquer aux activités d’un centre d’opérations de sécurité (SOC) : les analystes observent le paysage en surveillant les réseaux et capteurs, s’orientent en analysant ce qu’ils voient et en repérant les anomalies, puis prennent une décision quant à la façon d’agir, souvent en isolant ou en nettoyant certaines parties d’un réseau.
Pour ce qui est du recrutement d’anciens militaires, l’un des moyens d’approcher les recrues potentielles consiste à publier des annonces dans les magazines et médias spécialisés. Certaines grandes entreprises organisent même des événements ciblant spécialement ces profils, comme elles le font parfois avec les étudiants dans les salons pour l’emploi ou sur les campus universitaires. Aujourd’hui, les carrières militaires ne durent plus nécessairement toute la vie active. À côté des vétérans, on trouve désormais des jeunes ayant officié dans l’armée pendant quelques années seulement. Les employeurs doivent toutefois avoir conscience des éventuelles difficultés de réinsertion dans la vie civile et, le cas échéant, offrir un soutien approprié. Ainsi, certains peuvent douter de leur capacité à s’adapter à un mode de vie moins structuré, éloigné de l’esprit de camaraderie et d’équipe qui règne au sein de l’armée.
Il y a quelques années, l’OTAN a officiellement reconnu le cyberespace comme un domaine de guerre, au même titre que les champs de bataille classiques sur terre, en mer et dans les airs. Depuis, presque tous les militaires sont formés aux cyberarmements, souvent dans les environnements les plus difficiles. Dès lors, il serait dommage de ne pas tirer parti de ce vivier de compétences immédiatement exploitables dans notre secteur.