Quand la plupart des gens pensent à la cybersécurité et à la cybercriminalité, la première chose à laquelle ils pourraient penser est un logiciel antivirus ou même un logiciel anti-malware. Pourtant, combien d’étudiants qui ont recueilli leurs GCSE ou niveaux A cet été sauront ce qu’est un CISO? Un cryptographe? Un chasseur de menace? Un analyste de malware? Un testeur de pénétration?
Ces derniers peuvent susciter un fou rire, mais la grande majorité des étudiants qui commencent à penser à leur future carrière rencontrera probablement tous les visages vides.
Bien que le secteur de la cybersécurité du Royaume-Uni représente plus de 5 milliards de dollars et soit largement considéré comme le plus important d’Europe, il souffre d’une pénurie réelle (et croissante) de talents. Plus de la moitié des entreprises et des organisations caritatives sont confrontées à un déficit de compétences techniques de base en cybersécurité, qui passe à 18% dans le secteur public.
Nous entendons tellement parler de la façon dont la jeune génération est indissociable de ses appareils et peut maîtriser les nouvelles technologies et applications beaucoup plus rapidement que ses homologues plus âgés. Dans le même temps, nous entendons également parler (ou faire l'expérience) des dommages causés par les violations de données et les piratages informatiques aux comptes personnels, aux entreprises et aux infrastructures nationales.
Dans le climat actuel de numérique, pourquoi ne voyons-nous pas plus de jeunes faire carrière dans la sécurité informatique? Cela est encore plus déconcertant lorsque l’on considère le coût croissant d’une formation universitaire et la surveillance croissante de la valeur des diplômes. Pour mettre les choses en perspective, le salaire annuel moyen des emplois en cybersécurité est de 72 500 £, bien plus que le salaire moyen de 23 000 £ pour les diplômés. Ce ne sont pas seulement nos jeunes qui risquent de ne pas y participer, mais également l’économie britannique.
Sommaire
A propos de l'auteur
James Lyne est le directeur technique du SANS Institute.
Une menace pour la sécurité nationale?
Je ne peux pas penser à une entreprise au Royaume-Uni qui ne dépend pas de la technologie et ne participe pas à notre économie numérique sous une forme ou une autre. Cela signifie que chaque organisation risque également que quelque chose se passe mal quelque part; Les violations de données et les piratages (internes et externes) peuvent nous affecter tous.
Un manque de compétences spécialisées dans le secteur de la gestion des services informatiques aura un impact négatif sur la capacité du Royaume-Uni à se défendre contre des menaces de plus en plus sophistiquées. Ce fait n’est pas passé inaperçu du gouvernement britannique. À la fin de l'année dernière, Margot James, ministre du Numérique et des Industries de la Création, a souligné que la cybersécurité était «une priorité absolue pour le gouvernement. Elle est essentielle non seulement à notre sécurité nationale, mais également à devenir la meilleure économie numérique au monde. '
Conscient du déficit de compétences, le gouvernement a lancé une stratégie initiale de cybersécurité en matière de compétences, promettant un financement de 2,5 millions de livres sterling pour la création d'un conseil de la cybersécurité du Royaume-Uni chargé de former une main-d'œuvre qualifiée pour l'avenir. C’est une initiative positive, mais le gouvernement n’a pas pour seul objectif de remédier à la pénurie de main-d’œuvre qualifiée. En août dernier, le gouvernement a nommé l'Institution of Engineering and Technology (IET) en tant qu'organisation chef de file chargée de la conception et de la mise en œuvre du nouveau Conseil de la cybersécurité du Royaume-Uni. Nous attendons donc de voir quels changements cela apportera.
Prendre une responsabilité collective
La responsabilité de combler le déficit de compétences et de promouvoir la cybersécurité en tant que choix de carrière valorisant, bénéfique et très valorisé ne revient pas à une seule partie. Au lieu de cela, ce doit être le travail d'acteurs de multiples domaines: investisseurs gouvernementaux et privés, le secteur de la cybersécurité, l'éducation, les organismes commerciaux, les organisations à but non lucratif, les chefs de département informatique et les ressources humaines.
Il est important de noter que ces parties ne doivent pas attendre que le problème s'aggrave encore avant de le résoudre ou s'appuyer trop sur un logiciel de chiffrement. C’est déjà assez grave et avec les ramifications du Brexit encore mal compris, une fuite des cerveaux du Royaume-Uni vers l’Europe est une possibilité réelle. Le moment d'agir est donc maintenant.
Premièrement, les entreprises – de toutes tailles et de tous les secteurs – doivent être davantage conscientes de l’importance d’investir dans les talents en matière de sécurité. Selon une étude du DCMS publiée plus tôt cette année, l’équipe moyenne de cybersécurité au Royaume-Uni ne comprend que deux employés. Il va de soi que plus de la moitié des organisations, selon le même rapport, n’ont pas confiance en elles pour faire face à une attaque de cybersécurité.
Le centre de cybersécurité national du Royaume-Uni est un bon premier point de contact pour répondre à cette question. Il propose des ressources gratuites aux entreprises cherchant à renforcer leurs capacités de sécurité. Créer davantage de postes et élever le statut de cybersécurité au sein d’une entreprise est une bonne chose, mais le talent doit venir de quelque part. La réponse réside dans les écoles et les collèges du pays.
Retour à l'école
Pour revenir à l’une des questions posées au début (pourquoi ne voyons-nous pas plus de jeunes poursuivre des carrières dans la sécurité informatique?): Les jeunes ne peuvent pas poursuivre des carrières qu’ils ne connaissent pas ou qui ne font pas appel. Les enfants grandissent en apprenant sur les rôles professionnels traditionnels tels que médecins, dentistes et infirmiers, et (par osmose des médias sociaux) moins traditionnels, tels que les influenceurs et les vloggers. Nous devons également améliorer la diversité des sexes dans les technologies de l'information.
Les avantages de la cybersécurité doivent donc être défendus dès le plus jeune âge et intégrés au programme d’études de la même manière que des matières comme l’anglais, les mathématiques et le théâtre. Il s’agit de sujets universitaires et d’études approfondies largement reconnus, alors pourquoi ne pourrions-nous pas faire de la sécurité informatique un moyen tout aussi viable?
Nous avons déjà constaté un certain succès avec cette approche, avec le programme Cyber Discovery, soutenu par le gouvernement, qui en est à sa troisième année. Près de 50 000 étudiants âgés de 13 à 18 ans ont participé au cours des deux premières années, à la suite du lancement du programme de formation gratuite en cybersécurité.
Cyber Discovery utilise la gamification pour enseigner et démontrer les bases de la cybersécurité (y compris des domaines tels que la criminalistique, le codage et la cryptographie) de manière sécurisée, stimulante et amusante. Il est important de noter que cela constitue un défi suffisant pour les adolescents qui souhaitent tester leurs compétences dans des scénarios réels pour les empêcher de rencontrer des difficultés pour les tester sans autorisation.
Combler le vide
D’ici 2021, on prévoit dans le monde 3,5 millions de postes de cybersécurité non pourvus. Nous devons naturellement veiller à ce que la proportion de postes vacants au Royaume-Uni soit aussi faible que possible. Cependant, nous avons également une responsabilité plus large de veiller à ce que l'industrie mondiale de la cybersécurité soit dynamique, diversifiée et durable.
La technologie et Internet sont universels et il est essentiel que les cyber-talents ne soient pareillement pas limités par les frontières. L'éducation sur l'importance du secteur devrait commencer dès le plus jeune âge (avec l'adhésion des secteurs public et privé) et se poursuivre avec des investissements continus en talents informatiques internes et externalisés dans tous les secteurs.
James Lyne est le CTO au Institut SANS.