Back

HUMAN

La cybersécurité face au défi des compétences

La récente étude « 2024 Cybersecurity Skills Gap » menée par Fortinet permet de faire le point sur les enjeux auxquels sont confrontées les entreprises en matière de sécurité. Alors que les brèches continuent de faire des ravages financiers, les dirigeants sont de plus en plus tenus pour responsables, et pénalisés, lorsqu’elles se produisent. Pour répondre à la menace, alors que les compétences en cybersécurité manquent, il faut former, sensibiliser et mieux s’appuyer sur la technologie.

March 6, 2025

Garantir la protection des entreprises face aux cybermenaces constitue une tâche ardue. D’une part, cette menace évolue rapidement. Les cyberattaquants mettent en œuvre des approches de plus en plus sophistiquées. D’autre part, les environnements informatiques ont tendance à se complexifier. « Pour répondre à ces défis, les organisations doivent renforcer les équipes en charge de la cybersécurité. Or, le plus grand challenge auquel elles sont confrontées réside dans les difficultés à recruter les compétences dont elles ont besoin, explique Patrick Commers, Cybersecurity Evangelist au sein de Fortinet Belux. On estime à 4 millions le nombre de professionnels* nécessaires pour combler le déficit croissant de main-d’œuvre dans le domaine de la cybersécurité. » La récente étude « 2024 Cybersecurity Skills Gap » de Fortinet, qui a interrogé 1.850 décideurs IT et cybersécurité, met en lumière ces enjeux.

Souffrant d’un déficit de ressources, les équipes IT peinent à lutter efficacement contre les menaces et à assurer une gestion optimale des systèmes et des vulnérabilités. Dans cette situation, les entreprises s’exposent à des risques d’incident croissants.

Des environnements plus complexes

« En moyenne, les attaques qui s’appuient sur un nouvel exploit ont lieu 4,76 jours après la découverte de celle-ci. C’est un délai d’exploitation 43% plus court que celui observé en 2023, commente Patrick Commers. D’autre part, nous continuons de voir des acteurs de la menace exploiter de vieilles vulnérabilités. Presque toutes les organisations (98%)** ont détecté dans leurs environnements des exploits qui sont dans les boîtes à outils des attaquants depuis au moins cinq ans. »

Pour beaucoup d’entreprises, le ver est probablement déjà dans la pomme. « On voit en effet croître le nombre d’attaques complexes, persistantes et difficiles à détecter, ajoute l’expert. Les acteurs malveillants ont recours à des approches relevant de l’espionnage, cherchant à rester le plus longtemps possible sous les radars. Entre le moment où les systèmes sont compromis et celui où l’attaque est détectée, il peut s’écouler une période de temps plus ou moins longue. Plus on met du temps à identifier une compromission, plus les dégâts auxquels l’entreprise devra faire face seront conséquents. »

Des dirigeants davantage concernés

Le premier enjeu pour les entreprises est de trouver les moyens de répondre à cette menace croissante. C’est aujourd’hui un sujet de préoccupation majeur pour les dirigeants d’entreprises. Au regard des nouvelles exigences réglementaires imposées par DORA ou NIS2, leur responsabilité vis-à-vis de la gestion de ces risques est désormais engagée. Pour éviter une amende salée, voire une peine d’emprisonnement, les dirigeants doivent veiller à ce que leur organisation adopte les bonnes pratiques.

Mais comment faire si les ressources capables de les mettre en œuvre manquent ? « Il n’y a pas de solution miracle, répond Patrick Commers. Considérant les enjeux, les entreprises prennent conscience qu’elles ne pourront plus gérer l’ensemble des aspects touchant à la sécurité elles-mêmes. Elles ont besoin de partenaires de qualité, capables de mettre à leurs dispositions des expertises clés. »

Réduire la compléxité

Si l’on veut parvenir à mieux appréhender les risques et les menaces, il est aussi essentiel de réduire la complexité des systèmes et d’améliorer la visibilité des équipes sur l’environnement informatique de l’entreprise.

« Une organisation dispose en moyenne d’une centaine d’applications et de solutions. Un tel ensemble est évidemment complexe à maintenir et à sécuriser. Afin de faciliter le travail des équipes, il est recommandé de disposer d’une plateforme centrale, à partir de laquelle on peut gérer l’ensemble des opérations liées à la sécurité », commente Patrick Commers. À partir de sa plateforme, Fortinet contribue à mieux intégrer l’ensemble des systèmes de sécurité et facilite leur gestion. « Une telle approche simplifie l’automatisation des tâches. L’intelligence artificielle, au départ des données centralisées sur la plateforme, améliore la détection d’anomalies. Tout cela permet de soulager les équipes. On gagne en efficacité. Les collaborateurs peuvent davantage se concentrer sur les enjeux clés », poursuit Patrick Commers.

Sensibiliser et former à tous les niveaux

La sécurité, c’est l’affaire de tous. L’un des leviers essentiels, pour réduire la pression sur les équipes informatiques et améliorer la posture de sécurité globale de l’entreprise, réside dans la sensibilisation de l’ensemble des collaborateurs. « Le premier pare- feu, c’est l’humain. C’est souvent en recourant à des approches d’ingénierie sociale que les attaquants vont obtenir des identifiants et mots de passe des collaborateurs. Il est dès lors important de les former régulièrement afin de les conscientiser sur les risques et menaces, ajoute Patrick Commers. La sensibilisation peut prendre de nombreuses formes, de la campagne de communication à la mise en œuvre d’exercices et de tests. »

Enfin, si les compétences en sécurité sont rares sur le marché de l’emploi, il appartient aux organisations d’investir dans leur développement. « Plutôt que de chercher éternellement l’expert dont on a besoin, on peut aussi investir dans des profils junior, leur permettre d’acquérir l’expérience requise sur le terrain. Au sein de chaque entreprise, il y a des profils qui peuvent aussi évoluer vers des fonctions en lien avec la sécurité », poursuit Patrick Commers. Conscient des risques inhérents à ce manque de compétences en cybersécurité, Fortinet s’est engagé depuis longtemps à rendre la formation en cybersécurité et les opportunités de carrière associées accessibles à tous. La société s’est engagée à former un million de personnes en cybersécurité d’ici 2026, notamment au travers de son programme « Academic Partner ». Fortinet travaille avec plus de 700 institutions dans 100 pays et territoires de par le monde pour créer une main-d’œuvre en cybersécurité plus diversifiée, plus équitable et plus inclusive.

Investir plutôt que subir

Si la situation est effectivement complexe, les organisations doivent faire preuve de créativité et pouvoir mettre en place des solutions originales. « Pour les entreprises, la sécurité est essentielle à la continuité de l’activité. Les coûts engendrés par un incident, qu’ils soient liés aux amendes, à la perte d’activité ou à la remédiation, sont considérablement plus importants que les investissements nécessaires à une bonne gestion de la sécurité. Une entreprise résiliente, en mesure de garantir un niveau de protection optimale, dispose en outre d’un avantage compétitif sur ses concurrents. »

* ISC2 Cybersecurity Workforce Study, 2023
** 2H 2023 FortiGuard Labs Threat Landscape Report

 

Quelques chiffres

  • 80%: Les malwares, le phishing et les attaques web représentent ensemble 80 % de toutes les attaques de l’année.
  • 63%: La majorité (63 %) des organisations ont eu besoin de plus d’un mois pour se remettre d’une cyberattaque.
  • +1 MILLION: 53 % des personnes interrogées déclarent que les violations leur coûtent plus d’un million de dollars en pertes de revenus, amendes et autres dépenses.

  • 72%: Près de trois quarts (72 %) des répondants indiquent que leurs dirigeants se sont davantage préoccupés de la cybersécurité en 2024 que l’année précédente.

Watch video
Partager
Tweeter
Share

In the same category

March 4, 2025
Des influenceurs internes au service du changement

Votre entreprise envisage d’engager d’importants changements organisationnels ? Pourquoi ne pas vous appuyer sur les influenceurs présents à l’intérieur de votre organisation ? Grâce à leur soutien et à leur implication, ils peuvent contribuer à la réussite de votre projet.

February 13, 2025
Julie Godin nommée présidente exécutive du conseil d’administration de CGI

Conformément aux stratégies de relève de CGI (TSX : GIB.A) (NYSE : GIB) qui ont été établies de façon exhaustive depuis plusieurs années, Julie Godin est nommée présidente exécutive du conseil d’administration, en vigueur immédiatement après l’assemblée générale des actionnaires d’aujourd’hui. En parallèle avec la nomination de madame Godin, le fondateur de CGI, Serge Godin, assumera le rôle de coprésident du conseil et continuera de se concentrer sur les acquisitions transformationnelles pour CGI ainsi que sur des dossiers de grande envergure avec des clients.

February 11, 2025
Innovative strategies for enhancing employee experience: PwC’s blueprint

In 2025, employees may face higher performance expectations as companies push for profits and integrate AI. The debate on motivation isn’t new—Douglas McGregor’s 1960 “Theory X and Theory Y” explored whether aligning employee and company values fosters self-motivation and productivity.