La pénurie de talents dans le domaine de la cybersécurité ne semble pas près d’être résolue. Face à la crise des ransomwares, l'industrie de la tech est encouragée à adopter de nouvelles normes de sécurité et à investir davantage dans des solutions de cybersécurité modernes. 83 % des français estiment que la pénurie de main-d’œuvre impacte la capacité de leurs entreprises à sécuriser leurs systèmes d’information et réseaux. Pire encore, près d’un tiers des français travaillant dans ce domaine envisagent de changer de métier à l’avenir.
À cause du manque d’effectif, les entreprises sont plus que jamais susceptibles d'être confrontées à des cyberattaques. Le volume et le coût des ransomwares et autres attaques ont explosé ces dernières années. Plusieurs raisons expliquent cette tendance, notamment la démocratisation du travail à distance, les facilités de paiements anonymes en cryptomonnaies ou encore les méthodes innovantes des cybercriminels. L’autre conséquence moins évidente de la pénurie de talents est qu’elle rend l’innovation plus difficile. En effet, si une entreprise ne dispose pas d’un nombre suffisant de professionnels de la sécurité, ces derniers mettront plus de temps à faire leur travail et les corrections d'application seront plus compliquées voire impossibles, bloquant ainsi les processus de développement.
Pallier la recrudescence des cyberattaques
Dans le monde entier, les entreprises investissent énormément d’argent pour développer des outils de cybersécurité mais cette stratégie rencontre plus ou moins de succès. Selon Statista, les dépenses mondiales en matière de cybersécurité s'élevaient à 34 milliards de dollars en 2017, un montant qui a quasiment doublé en 2021 pour atteindre environ 60 milliards de dollars. Malheureusement, les cyberattaques continuent de proliférer à un rythme alarmant. Selon une étude d'Accenture, 32 % d'attaques supplémentaires ont été enregistrées en 2021 par rapport à 2020, et 81 % des personnes interrogées déclarent que chercher à avoir un coup d’avance sur les cyberattaquants est un combat interminable au coût insoutenable.
Les entreprises n’ont aucun intérêt à continuer de dépenser de l’argent dans des solutions qui ne sont pas à la hauteur des menaces. Les solutions existantes, qui sont les mêmes depuis plusieurs années, telles que les SIEM (Security Information and Event Management - Gestion de l'Information et des Événements de Sécurité) et la détection des menaces au niveau des points d'accès et des réseaux, ne sont pas suffisamment efficaces contre toutes les menaces. Ainsi, le déséquilibre entre les coûts et l'efficacité se fait de plus en plus important chaque année.
Une autre approche consiste à encourager les initiatives de sensibilisation et de formation aux enjeux de sécurité qui permettent de répondre en partie à la pénurie. Cependant, l'industrie du logiciel ne peut pas attendre que les étudiants soient diplômés ou que les employés actuels soient formés par des cours universitaires ou des certificats professionnels.
Les développeurs plus que jamais sensibles aux enjeux de sécurité
La réponse la plus cohérente à apporter est de demander aux 27 millions de développeurs de logiciels dans le monde d'adopter une approche plus axée sur la sécurité et d'appliquer en permanence les bonnes pratiques de sécurité. Les entreprises doivent tirer parti des compétences existantes des développeurs et leur familiarité avec le code afin d’aider les équipes de sécurité, peu nombreuses et surchargées, pour éliminer les vulnérabilités.
Il est évidemment impossible de demander aux développeurs de faire un deuxième travail, et encore moins un travail pour lequel ils n'ont pas reçu de formation officielle. Leur temps est déjà précieux et ils ne peuvent ralentir le processus de développement par de longues analyses du code ou des tests de sécurité avant la mise en production d'une application. En revanche, les processus de sécurité, les analyses et les corrections doivent être intégrés dans les flux de travail existants des développeurs, avec une sécurité automatisée à chaque étape possible du cycle de vie du développement logiciel. Les développeurs ont également besoin d'une approche systématique pour identifier et corriger les problèmes de sécurité dans leur propre code propriétaire et s'assurer que les logiciels libres qu'ils utilisent en production sont sûrs et restent sécurisés.
La sécurité peut être maintenue et renforcée lorsque l'ensemble de l’entreprise définit la comme une priorité, même en l'absence d’équipes spécialisées. Cette vision doit s'appliquer à toute l’entreprise afin de faire collaborer de manière cohérente et continue les développeurs, les équipes de sécurité et l'ensemble de l'entreprise. À l'heure où la cybercriminalité atteint des sommets, la sécurité est devenue un enjeu essentiel pour toutes les équipes, et pas seulement les équipes spécialisées qui sont sous-dotées et surchargées.