La fraude et le vol de données sont au troisième rang des fléaux économiques…

Steve Wainwright : En effet, c’est ce qui ressort du Global Risks Report 2019, produit par le Forum économique mondial. Ces menaces proviennent toujours plus d’organisations criminelles organisées sinon soutenues par des États-voyous qui parrainent l'espionnage économique à grande échelle, comme le montre une enquête de l'Agence européenne de la sécurité aérienne : les systèmes aéronautiques subissent en moyenne 1 000 attaques par mois ! Ces attaques portent gravement atteinte à la réputation des entreprises. Elles ont aussi un impact commercial que la généralisation de l'Internet des objets (IoT) et du cloud vont accroître démesurément. En pleine transformation digitale les entreprises deviennent très vulnérables aux cyberattaques.

Comment y remédier ?

Steve Wainwright : C’est un vrai problème alors qu’on signale un déficit considérable de spécialistes de la cybersécurité ; dans la seule Europe, ce déficit est estimé à 350 000 professionnels à l’horizon 2022… Si les entreprises manque parfois d’une réelle volonté d’embaucher, elles se heurtent de toute façon à la guerre des talents qui sévit tout particulièrement dans ce domaine.

Le première solution, c’est de former des informaticiens de l’entreprise, ce qui est un moyen peu onéreux et d’autant plus pertinent qu’il rencontrera l’assentiment des équipiers de la DSI souvent demandeurs de certifications en cybersécurité. Deuxième solution pour étendre ce vivier de compétences : puiser chez les collaborateurs non informaticiens ou recruter à l’extérieur dans des filières non nécessairement techniques de l’enseignement supérieur et auxquelles on n’aurait pas pensé de prime abord…

Car, pour vous, la cybersécurité est largement affaire de soft skills ?

Steve Wainwright : C’est exact, elle s’appuie sur des capacités transversales : réflexion latérale, résolution de problèmes complexes, compréhension de la gestion des risques, collaboration entre des profils divers, capacité à porter un regard neuf, etc. Ces compétences valent plus qu’une seule certification technique ! En matière de cybersécurité, les RH doivent prenser “out of the box” : rechercher ou construire les compétences comportementales, y compris chez les non spécialistes, qui devront bien sûr être formés ensuite aux techniques propres à ce domaine. À défaut les entreprises courent un grave risque à court terme du fait de la sophistication et de la multiplication rapide des menaces.

Nécessité aussi de sensibiliser tous les collaborateurs ?

Steve Wainwright : Chacun a une part de responsabilité, et même basique une formation permet de se protéger de la plupart des attaques, comme le rappelle le rapport de 2017 de Verizon : 81 % des atteintes à la protection des données sont dues à des mots de passe volés ou faibles ! Ces formations doivent être courtes, fréquentes (au rythme des nouvelles menaces) ; elles doivent porter sur des sujets bien identifiés, comme l'hameçonnage, pour inviter les collaborateurs à reconnaître une menace et les aider à riposter. On note par ailleurs que ces formations permettront aussi d’identifier des candidats potentiels à la cybersécurité !

Propos recueillis par Michel Diaz