Comment répondre à la pénurie de cybercompétences

Entre des besoins en sécurité exponentiels et une pénurie de RSI et RSSI, le développement et l’entretien des compétences des profils technico-commerciaux sont des enjeux cruciaux pour tous.

La cybersécurité défraie la chronique. Les attaques contre Uber, contre l’hôpital de Corbeil-Essonnes, la cyberattaque géante contre SolarWinds, l’éditeur Kaseya, Orange cyberdéfense ou encore les infogéreurs B&D Eolas et Atos en septembre 2022, créent un climat général de cyberanxiété, doublée d’une course à l’armement des clients et partenaires.

Par ailleurs, la diversité des nouvelles menaces telles que MFA fatigue, les faux QR codes, l’utilisation du deepfake et les intrusions par l’Internet des objets, ne facilitent pas la tâche des spécialistes. Pas étonnant que près d’un chef d’entreprise sur deux déclare avoir peur de perdre ou se faire pirater des données.¹

Voilà qui explique sans doute pourquoi, au cours de ces derniers mois 81 % des sociétés se soient équipées d’éléments de cybersécurité. Une augmentation de cinq points du taux d’équipement dans ce domaine par rapport à 2021 relevée par le Baromètre,¹ même si une bonne part ne semblent pas encore prendre la mesure de la situation.

« Même avec les meilleurs outils de sécurité, la forteresse s’écroule sans pare-feu humain »

Benoît Balthasar, hacker éthique certifié

COMPENSER PAR LES SERVICES

Selon le cabinet Wavestone, cité par Microsoft en marge de Vivatech 2022, il manquerait plus de 15 000 experts en cybersécurité, en France. Les éditeurs de ce segment y voient une opportunité pour leurs partenaires d’offrir et de développer leurs services managés. L’externalisation des services de sécurité devient ainsi une solution pour les PME qui cherchent à pallier la pénurie de compétences, ou qui ne possèdent pas les ressources internes dédiées. « Un partenaire MSP devient le département informatique professionnel externalisé d’une PME qui bénéficiera alors d’une force de frappe plus significative », note Thomas Bresse, cofondateur et directeur technique de BeMSP spécialisé dans l’aide à la transformation vers la vente de services managés, depuis 2014.

Cependant, le niveau de compétences minimum évolue tous les jours car « agrémenté » de menaces et de parades inédites. « Une montée en compétences des revendeurs est nécessaire. Le recrutement de bons techniciens est l’une des plus grosses problématiques chez les prestataires, surtout pour trouver des gens formés en cybersécurité. »

Pour accompagner la montée en compétences de ses clients, le distributeur a créé la BeMSP Academy qui regroupe notamment du contenu en ligne sur les parcours de formation et les bonnes pratiques. « Près de 300 personnes ont été enrôlées dans le programme qui compte une demi-douzaine de cursus. » Thomas Bresse, chez BeMSP, remarque également une tendance générale : « On sent qu’il existe un besoin d’uniformisation sur les compétences ; chaque pays pousse un peu son référentiel. »

ÊTRE RÉFÉRENCÉ PAR LE LABEL EXPERTCYBER

Du côté gouvernemental, deux ans après la création du label ExpertCyber, une seconde étape clé a été annoncée lors des Assises de la cybersécurité. Un groupe de travail réuni par Cybermalveillance.gouv.fr et composé du groupe Afnor, du Campus régional de Cybersecurité, de Confiance numérique Nouvelle-Aquitaine (C3NA) et du Centre de formation de l’Anssi (CFSSI) s’est constitué début 2022. « Après la création du label ExpertCyber, nous avons voulu aller encore plus loin en accompagnant la montée en compétences des prestataires qui ne disposent pas encore du bon niveau d’expertise en cybersécurité. L’objectif de ce référentiel de compétences est d’accompagner les prestataires, qui jouent le rôle de relais de confiance des entreprises dans cette évolution », a déclaré Jérôme Notin directeur général du groupement d’intérêt public Acyma, composé de 56 membres.

Ce référentiel de compétences intègre tous les aspects essentiels du métier de prestataires cyber de premier niveau autour des domaines de la sécurisation, du maintien en condition opérationnelle ou de sécurité, et de la remédiation. Chaque organisme de formation s’en inspirera pour créer des formations adaptées avec un socle commun de connaissances.

« Il est intéressant de se certifier sur le fond, mais si une grosse faille sort, il faut vite s’informer par l’actualité »

Nicolas Ruff, expert en sécurité du cloud, ingénieur sécurité, Google  

CHOISIR UNE FORMATION PARMI LES OFFRES MULTIPLES

Tout le monde peut s’accorder sur le diagnostic mais, concrètement, sur quelle techhnique et comment se former ? Si un revendeur souhaite que lui-même ou ses collaborateurs suivent un cursus débouchant sur une qualification, et obtiennent une certification incontestable, le catalogue des formations continues, référencées par l’Anssi, présente plus de 65 offres en détail. Les cursus délivrent de la simple attestation de « Référent cybersécurité en TPE et PME », jusqu’aux complexes certifications ISO 17024, 27001, etc.

Rappelons que deux organismes internationaux sont reconnus pour la qualité de leurs certifications en matière de sécurité des systèmes d’informations : Isaca et (ISC)². L’Isaca, elle, outre la réussite à l’examen, exige au moins cinq ans d’expérience pour obtenir l’une ou l’autre des certifications.

Également répandue dans le monde de la cybersécurité, la certification CEH pour Certified ethical hacker revient à 2 500 €. Ce cursus est sanctionné par un QCM de quatre heures et 125 questions. « J’y ai trouvé le bon compromis entre théorie et pratique, confie Benoît Balthasar, hacker éthique certifié. Selon lui, l’intérêt réside à passer en revue tout le spectre de la cybersécurité. C’est une formation nécessaire mais pas suffisante. » Interrogé sur le développement des compétences en cybersécurité, il insiste sur le social engineering, ces escroqueries de « piratage humain », telle que l’arnaque au président : « Il faut former, sensibiliser. Une heure assortie d’exemples de phishing récents peut suffire. » Il conseille en particulier « de former le comptable et le dirigeant pour qu’ils prennent conscience du risque… de fermeture ».

Notre hacker éthique le rappelle : « Même avec les meilleurs outils de sécurité, sans le firewall humain la forteresse s’écroule. » Les fournisseurs proposent aussi leurs propres initiatives : Microsoft a, par exemple, développé le programme Enterprise skills initiative (ESI) destiné à ses clients et partenaires. Centré sur la sécurité, il intègre plusieurs modalités de formations (modules autonomes en ligne sur Microsoft Learn, cours avec instructeurs, Labs, OpenHacks, Cloud Games, préparation aux certifications, etc.) À noter que l’éditeur propose gratuitement deux formations LinkedIn Learning : « La Sécurité et Défense de Windows » et « Sécuriser Active Directory contre les menaces actuelles. »

ÉCOUTER UN PODCAST DÉDIÉ

D’autres ressources sont accessibles en ligne facilement : à ce titre, le NoLimitSecu, podcast hebdomadaire francophone, mérite un coup de projecteur. Ce programme créé voilà six ans par Johanne Ulloa est coanimé par une équipe de passionnés dont Nicolas Ruff, ingénieur expert en sécurité du cloud chez Google qui a participé à l’édition du numéro expérimental.

Les 382 épisodes disponibles forment une culture sécuritaire générale, pointue et vivante. Interrogé sur sa vision des compétences en cybersécurité Nicolas Ruff souligne que « le plus important est de rester humble et curieux. Oui, c’est normal de ne pas savoir a priori ». Confirmant l’intérêt des certifications, il souligne qu’« il est intéressant de se certifier sur le fond, mais si une grosse faille sort, il faut être vite informé par l’actualité. Le podcast présente l’avantage d’être un format qu’on écoute en mobilité ».

Ce spécialiste constate, en outre, que si le marché des produits a explosé, on ne parvient toujours pas à mettre en place des solutions simples et efficaces. Et quand on l’interroge sur les parades et tendances à surveiller, il cite Edison : « ‘‘On n’invente pas les ampoules en perfectionnant les bougies.‘‘ Les gens essayent d’améliorer un système existant, qui est en fait un S.I. qui date de vingt ans ou trente ans. Globalement, rien ne change sur le fond, et il faut passer par des solutions radicales comme le Zero Trust. »

Il évoque la démarche du password less en soulignant que cette approche qui consiste à stocker un élément de sécurité dans le téléphone marque un changement de l’authentification. On la retrouve déjà via Apple Passkeys, dans Android et même sur Microsoft Azure.

À noter que NoLimitSecu est un des rares podcasts de la scène francophone ni sponsorisé ni réalisé par un éditeur de solutions. Compétence, indépendance et bienveillance sont donc au rendez-vous.

1 Source : Baromètre annuel sur la transformation numérique des TPE et PME, France Num 2022. 

L’APPRENTISSAGE COLLABORATIF ACCÉLÈRE LA FORMATION

Les formations entre pairs avec mentors constituent une alternative prometteuse pour former les professionnels de la cybersécurité. « Quand vos experts dans ce domaine manquent de temps pour se former, nous proposons un apprentissage collaboratif qui accélère leur perfectionnement en cybersécurité », explique Luc Chrétien, CEO de Propulsar Cyber Academia, et ancien directeur adjoint de l’université d’entreprise d’ArcelorMittal.

En plein lancement, son offre par abonnement combine deux activités : « High content propose plus de 1 200 tutoriels vidéos de cybersécurité obtenus par curation ; High touch, elle, fonctionne en deux temps : un regroupement mensuel par visioconférence, suivi d’activités en ligne durant le mois. Chaque formateur facilitateur anime des groupes de six participants centrés sur l’apprentissage par projet d’actions. » Proposé en quatre langues, le service a démarré en octobre 2022. Original : à l’occasion de son lancement, l’entreprise diffuse « Cybersecurity rap song », un clip de rap ludique et éducatif sur la cybersécurité. 

LA GAMIFICATION POUR SENSIBILISER À LA CYBERSÉCURITÉ

« Formez vos clients et éduquez vos utilisateurs pour qu’ils reconnaissent les risques et puissent agir ! » C’est l’appel lancé par Romain Paugam, responsable commercial France de Splashtop,² lors de la conférence « Le MSP à l’heure de la cybersécurité » à Nantes, en octobre 2022. Citant une étude de Proofpoint, il rappelle que « 99 % des cyberattaques réussies impliquent une action humaine ». Cette étude souligne que les principales difficultés des usagers finaux concernent l’identification des attaques par phishing et la protection des données. Pour former leur clients, il conseille aux prestataires « de jouer sur les différents formats : formations vidéos, training physique, plates-formes e-learning, etc. »

Rendre ludique le thème des risques cyber casse les codes de la formation. Par exemple, au sein de Splashtop « tous les employés sont testés de manière récurrente, avec un timing aléatoire. Notre équipe IT nous envoie à tous, un faux e-mail de phishing. Les résultats sont ensuite partagés avec les 350 employés : cela nous encourage à jouer le jeu, confie Romain Paugam. Nous dispensons un programme de formation intensif pour former nos collaborateurs aux bonnes pratiques, et qui nous offre le décryptage des dernières actualités, telles que le hack d’Uber, pour nous permettre d’identifier et éviter les cyber risques ». À propos des e-mails de phishing, il conseille de tester et gamifier l’expérience pour les clients avec des solutions comme Cyber Coach de Mailinblack. Et pour que cette sensibilisation ait un effet durable, le test interne de cybersécurité par e-learning est à revalider chaque année.

2 Splashtop : suite de logiciels de bureau à distance et de télémaintenance.