Le manque de compétences en cybersécurité de plus en plus prononcé

Une enquête mondiale auprès de 409 cadres dirigeants publiée par le Forum économique mondial révèle que le manque de compétences en cybersécurité s'est accru de 8 % l'année dernière, créant un déficit estimé à 4,8 millions de postes dans le domaine de la cybersécurité qui ne seront vraisemblablement pas pourvus. Seuls 14 % ont déclaré avoir le niveau d'expertise en cybersécurité requis dans leur organisation.

Plus inquiétant encore, près de 60 % des répondants ont déclaré que les tensions géopolitiques avaient affecté leur stratégie de cybersécurité, par exemple en les obligeant à modifier leurs polices d'assurance, à changer de fournisseur, à ajuster leurs politiques commerciales ou à cesser complètement leurs activités dans certains pays. Près de 70 % des personnes interrogées ont déclaré qu'elles trouvaient la réglementation existante trop complexe ou alambiquée.

En outre, deux tiers des personnes interrogées ont déclaré s'attendre à ce que l'essor de l'intelligence artificielle (IA) ait un impact sur la stratégie de cybersécurité de leur organisation, mais seulement 37 % ont déclaré disposer des outils nécessaires pour évaluer ce risque avec précision.

Dans le même temps, 42 % ont déclaré que leur organisation avait été touchée par des attaques d'hameçonnage, vishing, deepfake et autres attaques de social engineering fructueuses en 2024.

Il est à espérer qu'avec les progrès de l'IA, ces types d'attaques de plus en plus sophistiquées deviendront plus faciles à déjouer. Le seul moyen de gagner cette bataille sera de s'appuyer davantage sur l'IA pour renforcer l'expertise disponible en matière de cybersécurité. L'époque où un message truffé de fautes de frappe, rédigé par un prétendu prince nigérian ayant besoin d'aide pour transférer des fonds hors de son pays, est révolue depuis longtemps. Une approche différente, qui repose davantage sur des analyses avancées pour, par exemple, vérifier la source d'un message, est requise.

Les professionnels de la cybersécurité peuvent également se rassurer du fait que les cadres dirigeants ont enfin une meilleure appréciation des risques modernes auxquels l'organisation est confrontée. Cela ne se traduira pas toujours par un financement supplémentaire, mais cela devrait au moins donner lieu à une conversation plus rationnelle sur la manière dont ce financement est alloué. Il y a toujours une tendance à allouer trop de fonds aux technologies obsolètes, même si les menaces auxquelles une organisation est confrontée évoluent.

Malheureusement, de nombreuses organisations apprennent également cette leçon à leurs dépens, car le nombre de cyberattaques ne cesse d'augmenter. En réalité, la rapidité de ces attaques a atteint un niveau tel qu'il est presque impossible de s'en protéger efficacement sans recourir à l'automatisation.

En théorie, les investissements dans l'automatisation devraient également réduire le niveau de surmenage des professionnels de la cybersécurité. L’une des grandes raisons pour lesquelles il y a tant de postes vacants est que le taux de surmenage parmi les professionnels de la cybersécurité reste trop élevé. Plus les tâches de cybersécurité sont fastidieuses, plus il est probable qu'un professionnel de la cybersécurité conclura que le domaine n'offre pas suffisamment d'opportunités, alors qu'il existe tant d'autres secteurs aussi bien rémunérés, voire mieux.

Bien entendu, contrairement à beaucoup d'autres domaines, les professionnels de la cybersécurité savent qu'ils contribuent chaque jour à changer les choses. Malheureusement, ces efforts ne sont pas souvent reconnus. Pire encore, les dirigeants d’entreprise et les responsables informatiques ont tendance à ne se concentrer réellement sur la cybersécurité qu’en cas d’incident majeur, et à ce moment-là, ils oublient presque totalement la qualité de la défense de l'organisation jusque-là.

Hélas, la réalité est que près de cinq millions de professionnels de la cybersécurité supplémentaires ne seront pas recrutés et formés de sitôt et, pour être franc, la situation risque d'empirer avant de s'améliorer. Les cybercriminels exploitent déjà largement l'IA pour élaborer des attaques par hameçonnage difficiles à détecter, tandis que les deep fakes créés s'améliorent constamment. La cybersécurité est peut-être un travail ingrat, mais le besoin de héros quotidiens qui la garantissent n'a jamais autant manqué.