À l’heure du tout numérique, les ingénieurs en cybersécurité sont des métiers en tension et la tendance n’en est qu’à ses débuts. Pour sensibiliser les étudiants ESILV aux enjeux de la sécurité des systèmes informatiques, le groupe IBM, parrain de la promotion 2022, a organisé une conférence en ligne sur le thème : « La cybersécurité est un enjeu métier – Gérer le risque numérique dans un monde hyperconnecté ».
Sébastien Jardin, directeur du Business Development IBM Security France, membre du CLUSIF (Club de la sécurité de l’information français), a convié les élèves-ingénieurs de l’ESILV intéressés par les métiers de la cybersécurité à une rencontre en ligne dans le cadre du parrainage de la promotion 2022 par IBM France.
La cybersécurité connaît une pénurie de spécialistes dans tous les domaines de la sécurité informatique. Pour répondre aux besoins des entreprises, l’ESILV propose une majeure Informatique, objets connectés et sécurité , qui forme des ingénieurs spécialisés en systèmes et services connectés.
Le premier critère d’une organisation cyber-résiliente est la « security by design« , la sécurité dès le lancement d’un projet. Mais des pratiques comme l’hygiène informatique, la formation, la réaffectation des priorités et des investissements au sein des entreprises font également partie de la stratégie de cyber-résilience, abordée par Sébastien Jardin lors de la conférence « La cybersécurité – un enjeu métier ».
La cybersécurité, business mondial et enjeu métier
« Nous vivons dans un monde où tout est devenu connecté, ce qui peut rapidement se tourner contre nous », a expliqué Sébastien Jardin. « Il ne se passe une semaine sans une nouvelle cyber attaque. Le sujet cyber fait les gros titres, cela touche tout type d’entreprise, toutes tailles incluses. C’est un sujet technique, mais c’est aussi un sujet d’entreprise. Avec le RGPD éruropéen déstiné à protéger les citoyens contre les abus dans la gestion des données, les entreprises sont appelées à prendre de nouvelles responsabilités juridiques et de marché. »
Aujourd’hui, la cybersécurité est un business mondial qui devrait dépasser les 151 milliards de dollars en 2023. Selon un rapport IBM, la cybercriminalité coûte 1000 milliard d’euros par an à l’économie mondiale, l’équivalent d’une crise des subprimes par an.
« On constate plus récemment une évolution et une diversification des profils d’attaquants : pirates, hacktivistes, cybermercenaires avec des motivations différentes.
La plus courante est financière : les cybercriminels sont en quête de données monétisables que les entreprises détiennent (services financiers, commerce de détail, transports, etc.), mais ils visent également les actions monétisables (fabrication, énergie, santé…) ou bien des enjeux d’influence et déstabilisation. Que faire face à des cyber criminels dont l’imagination déborde ? » La menace interne compte pour 60 % des cyber attaques : les erreurs humaines constituent le principal cyber-risque pour les entreprises.
Selon Sébastien Jardin, il n’y a que 3 manières de traiter le risque : « réduire en écoutant, anticipant, planifiant, traduisant, s’équipant et s’entraînant ; accepter le fait que le risque 0 n’existe pas et que parfois le remède est plus couteux que l’impact; déléguer le risque à un tiers et en contrôler la maîtrise. » C’est ainsi que la cybersécurité peut accomplir son rôle, de protéger et de faciliter le business.
Parmi les approches communes les plus populaires on compte le « framework » du National Institute of Standards and Technology (NIST), une agence appartenant au Département du Commerce des États-Unis. Le NIST Cybersecurity Framework s’articule autour de 5 fonctions essentielles qui aident les organisations à mieux gérer leurs risques de cybersécurité en évaluant et en améliorant leurs capacités à prévenir, détecter et répondre aux incidents de cybersécurité.
Intégrer efficacement la cybersécurité dans les projets
« Nous sommes tous des cyberdéfenseurs », considère Sébastien Jardin. « Avoir le réflexe cybersécurité est rentable à bien des égards : c’est une obligation juridique et commerciale, mais il ‘agit aussi d’un avantage compétitif et un argument différenciant sur le marché. Les lignes bougent et la cybersécurité devient un enjeu majeur : à en croire au Baromètre de risque Allianz, les incidents cyber (39% des réponses) figurent pour la première fois en tête des risques d’entreprises dans le monde. »
Aujourd’hui la plupart des entreprises testent systématiquement leurs défenses.
« S’entraîner grâce à des pratiques comme le pentesting (test d’intrusion) fait partie des méthodes pour se défendre correctement. Les entraînements doivent être larges, complets et réalistes. L’équilibre ressources humaines et ressources techniques doit être pensé. les entreprises ont besoin de gens qui « pensent improbable » et d’accepter que personne n’est infaillible.
L’ensemble de l’entreprise doit être acteur de sa cybersécurité : collaborateurs, CIO, CEO, CMO, CISO… La cybersécurité a besoin de personnes à double-casquette : des personnes capables d’expliquer son langage à ceux qu’on est censé protéger. La cybersécurité devient un enjeu métier dans un monde hyperconnecté. »
This post was last modified on %s = human-readable time difference 9:57 am