La cybersécurité, un enjeu stratégique pour l’entreprise
Les organisations sont engagées dans des programmes de transformation technologique à grande échelle. La technologie et les plateformes sont présentes partout, l’environnement technologique évolue rapidement. Ainsi, leur dépendance au numérique est majeure et la résilience à la suite d’une cyberattaque est dorénavant vitale. La gestion d’une crise cyber nécessitant des compétences spécifiques est essentielle pour en limiter la durée et in fine l’impact en termes de gravité - financière, organisationnelle et humaine.
‘En 2023, 71% des professionnels de la sécurité déclarent que leur entreprise est affectée par cette pénurie de talents’ - Le Monde Informatique, septembre 2023
Un marché des compétences cybersécurité en tension
Dans le domaine de la cybersécurité, la pénurie des compétences ne montre aucun signe de ralentissement. Ce constat est partagé sur d’autres domaines d’expertise technique, comme l’IA, la data, le Cloud ou l’architecture IT par exemple.
Avec l’augmentation exponentielle des menaces cyber et la multiplication des technologies mises en œuvre dans les entreprises, disposer des bonnes compétences devient un atout concurrentiel. Attirer de nouveaux talents aux compétences rares, proposer des parcours de développement professionnels aux collaborateurs présents dans l’entreprise et les retenir restent des défis constants pour les directions générales.
Les domaines de compétences cybersécurité
La maîtrise des compétences en cybersécurité est essentielle tant au regard des enjeux d’efficacité que de protection.
Les compétences ‘cœur’ requises par les organisations se structurent autour de quatre grands domaines :
- 1. La connaissance des exigences relatives à la conformité aux lois et aux réglementations : connaître les lois et les réglementations sur la protection des données et sur la vie privée, comme le RGPD, et autres comme la loi de programmation militaire (LPM) ou la Directive européenne sur la sécurité des réseaux d’information (Directive NIS/NIS 2).
- 2. La connaissance des techniques informatiques : maîtriser les technologies de l’information utilisées dans l’entreprise afin de protéger efficacement les systèmes d’information.
- 3. Les compétences techniques cyber : maîtriser les outils et les technologies spécifiques à la cybersécurité, tels que les systèmes de détection et de prévention des intrusions (IDS/IPS), les firewalls, les scanners de vulnérabilité, etc.
- 4. Les compétences non techniques : démontrer des compétences en management, en communication, en formation/sensibilisation, en gestion de projet et en résolution de problèmes pour renforcer son organisation dans le domaine de la cybersécurité.
Selon les modes de sourcing interne ou externe choisis par l’entreprise, ces compétences ‘cœur’ se complètent de huit domaines de compétences plus spécifiques relatifs à la sécurité des réseaux, à la sécurité des systèmes, à la sécurité des applications, au renseignement sur les menaces cyber, à la gestion des vulnérabilités, à la cryptographie, à l’investigation numérique, à l’analyse et la réponse aux incidents.
C’est sur ce périmètre que se définissent les compétences individuelles et collectives de l’organisation cybersécurité.
Le rôle du COMEX face à la pénurie des compétences cybersécurité
La cybersécurité n'est pas simplement une préoccupation technique. Elle est en grande partie une question organisationnelle et stratégique de long terme qui nécessite l’implication et le soutien des dirigeants du fait de leur connaissance des enjeux de l’entreprise, des objectifs visés et des moyens mobilisables.
Cette implication et ce soutien se déclinent à travers plusieurs pistes d’actions :
- Les compétences cyber sont rares et prisées sur le marché. Pour les dirigeants, un des leviers d’action repose sur le développement dans l’entreprise d’une filière professionnelle ou d’expertise sur la cybersécurité. Cela offre l’opportunité de formaliser les exigences de compétences pour y accéder, mais aussi de proposer des parcours de développement professionnel. Ces parcours intègrent les composantes de formation et de certification requises, tout en permettant d’évoluer vers le plus haut niveau de l’entreprise. Le dispositif est animé par une communauté d’experts qui propose une approche collaborative pour accompagner le développement professionnel, valoriser les talents, assurer leur rayonnement interne et externe. Cette filière d’expertise contribue à la stratégie de rétention des talents. Les collaborateurs n’aspirent pas seulement à un package salarial attractif, ils recherchent aussi la reconnaissance de leur expertise et une offre de carrière à la hauteur de leurs attentes.
- La cybersécurité présente une variété de rôles et de fonctions faisant appel à des compétences qui ne sont pas exclusivement techniques. Les référentiels des métiers publiés par l’ANSSI ou par le Campus Cyber par exemple mettent en avant des compétences dites ‘transversales’ ou ‘postures personnelles’, c’est-à-dire des compétences comportementales, de leadership, de management d’équipe, de communication écrite et orale par exemple, importantes dans les activités opérationnelles et qu’il est impératif de mobiliser en situation de crise. En effet, ces dernières années, avec l’augmentation des cyberattaques et des crises, certains rôles comme ceux d’Analyste de Centre Opérationnel de Sécurité, d’Expert Forensic ou de Gestionnaire de cellule de crise, ont été mis en avant. La carte des compétences s’est ainsi redessinée en accordant une large place à ces « soft skills » et compétences organisationnelles. Le rôle des dirigeants consiste à mobiliser sur les enjeux de la cybersécurité, à communiquer sur la variété des rôles requis pour y faire face tout en mettant en valeur l’importance des compétences techniques mais aussi comportementales. Ce positionnement de l’équipe dirigeante permettra de sortir du cliché de ‘métier technique’ encore fortement associé à la cybersécurité et d’ouvrir l’accès à de nouveaux profils, favorisant ainsi la diversité et l’accès au large vivier de talents féminins, très largement sous exploité en matière de cyber (environ 11% de taux de féminisation de la filière dans le monde).
- Au regard de cette variété des rôles, la question se pose des compétences internalisées ou à déléguer à des tiers. Travailler avec un tiers nécessite de définir les modes de contractualisation à mettre en place pour accéder à ces compétences externes rares, tout en garantissant la réactivité requise en situation de crise. Le rôle des dirigeants est d’établir la stratégie de sourcing en réponse à l’évolution des compétences et des risques à moyen et long terme, pour accéder à de l’expertise en intelligence artificielle et en cryptographie post quantique par exemple.
- L’équipe de direction doit avoir une compréhension adéquate des enjeux de la cybersécurité pour en assurer non seulement la responsabilité du pilotage, du suivi et du contrôle des risques numériques, mais également pour veiller à la déclinaison des compétence afférentes à tous les niveaux de l’entité organisationnelle. Ces dernières années, des démarches de sensibilisation et de formation aux risques cyber ont été déployées auprès de l’ensemble des collaborateurs. La direction générale doit aussi s’engager pour relayer la communication sur les enjeux et sur les risques cyber.
Les bénéfices constatés
Les retours d’expérience des organisations ayant fait du développement des compétences une priorité font notamment ressortir les bénéfices suivants :
- Rétention, engagement et satisfaction des collaborateurs, avec une meilleure visibilité sur les rôles, activités et compétences associées à la cybersécurité, sur les opportunités d’évolution professionnelle interne, avec une reconnaissance et valorisation de l’expertise par la certification, avec des modalités d’apprentissage plus en ligne avec les aspirations individuelles.
- Optimisation des investissements de formation grâce à des propositions de parcours d’apprentissage plus en ligne avec les compétences cibles. Réductions des coûts d'embauche de l’ordre de 15% grâce à la mise en place de démarches de reskilling et de mobilité interne.
- Efficacité opérationnelle et maîtrise des risques avec une meilleure adéquation des compétences, rôles et activités.
IBM partenaire pour le développement des compétences cybersécurité
IBM a développé une expertise dans la mise en œuvre de démarches et de technologies au service du développement des compétences pour les entités cybersécurité. L’approche permet de définir la stratégie de développement des compétences autour de la cybersécurité, d’identifier les pistes d’action et les modèles à mettre en place, les technologies à optimiser, puis d’accompagner le passage à l’échelle.
Actions à considérer par les directions
- S’impliquer dans la création et le développement d’une filière cybersécurité au sein de l’organisation
- Formaliser une stratégie d’accès à des compétences externes
- Former la direction et les membres du conseil d’administration pour leur donner la capacité de piloter efficacement la gestion du risque cyber
Article co-rédigé par Nicolas Meyerhoffer avec Geneviève Nicolle et Etienne de Séréville.
Épisodes précédents :
La résilience, nouvelle mode de la cyber ?
#4 : L’exemple caractéristique du règlement DORA et du secteur financier.
Nouvelles approches de l’entreprise digitale, nouvelles stratégies de cybersécurité : secure by design, zero trust et plateformes de cybersécurité.
#3 Une stratégie cyber adaptée à la nouvelle ère technologique
Le « maillon faible » et sa mémoire procédurale
#2 : Le facteur humain.
Qu’est-ce qu’un programme de cybersécurité efficace ? « Un programme qui atteint ses objectifs » …
#1 : La gouvernance.
Que peut faire le comex pour augmenter l’efficacité de son programme cyber ?
Les 5 dimensions clés à piloter par Nicolas Meyerhoffer, Vice-Président, IBM France
Planet Fintech vous propose une série d'articles sur la cybersécurité
Annexe : Huit domaines de compétences spécifiques exercées par l’entreprise ou ses partenaires, en complément des compétences cœur
1. La sécurité des réseaux : savoir comment configurer, surveiller et protéger les réseaux contre les intrusions et les attaques.
2. La sécurité des systèmes : connaître la sécurité des systèmes informatiques qui vont supporter les applications et les services informatiques de l’entreprise.
3. La sécurité des applications : protéger au mieux les données et les métiers, la sécurité des applications étant essentielle.
4. Le renseignement sur les menaces cyber : comprendre les différents types de menaces, comme les malwares, les attaques par phishing, les attaques par déni de service (DDoS), les ransomwares, etc.
5. La gestion des vulnérabilités : identifier, évaluer et atténuer les vulnérabilités potentielles dans les systèmes et les applications.
6. La cryptographie : comprendre les principes de base de la cryptographie, qui impliquent la création et la gestion de clés pour sécuriser les données.
7. L’investigation numérique : enquêter sur les incidents de sécurité, collecter des preuves, et comprendre les techniques utilisées par les attaquants.
8. L’analyse et la réponse aux incidents et aux crises : savoir comment gérer et répondre aux incidents de sécurité, y compris la restauration des systèmes compromis et la communication avec les parties prenantes concernées.