Stratégie

Les 10 nouvelles compétences indispensables en cybersécurité

En veillant à recruter de nouvelles compétences en cybersécurité, les entreprises vont améliorer leur politique de défense.

En se concentrant sur l'embauche de nouveaux talents, les entreprises affronteront mieux les risques de cybersécurité.

PublicitéComme les pirates sont de plus en plus sophistiqués et les attaques plus fréquentes, il ne s'agit plus de savoir si votre organisation devient une cible, mais quand. Cette réalité a forcé de nombreuses organisations à réévaluer la façon dont elles traitent leurs efforts de sécurité et la meilleure manière d'allouer des ressources le plus rapidement possible. Voici 10 compétences de sécurité sur lesquelles votre organisation devrait se concentrer.

1. L'expertise en outils de sécurité.
Cela peut sembler évident, mais de nombreuses organisations adoptent une approche de « set-it-and-forget » (on installe et on oublie pourquoi on l'a fait). Elles ont des outils de sécurité, mais pas le savoir-faire nécessaire pour les utiliser. James Stanger, directeur du développement produits chez CompTIA, cite à titre d'exemple les outils de SIEM. « Ils sont géniaux dans la mesure où ils vous donnent une vue à 50 mille pieds sur votre réseau et votre infrastructure, mais vous permettent également d'examiner de manière très détaillée les incidents afin d'identifier les zones à problèmes ».
James Stanger cite plusieurs questions posées grâce à ce type d'outils. La plupart des incidents sont-ils le résultat d'une erreur d'utilisateur final ? Existe-t-il des défauts de sécurité qui pourraient être exploités grâce à vos implémentations dans le cloud ? Comment pouvons-nous faire en sorte que nos utilisateurs cessent de cliquer sur les pièces jointes ? Comment pouvons-nous nous assurer que les données sensibles ne sont pas dans un endroit vulnérable ?
Ces outils ne sont donc pas utiles si vous ne les utilisez pas à leur plein potentiel. Malheureusement, ils ont été installés juste pour répondre à une exigence. « Par exemple, ce que nous voyons beaucoup, c'est : « Avez-vous installé un gestionnaire d'incidents ? D'accord, faites-le maintenant, vérifiez cette case ... et finalement vous l'oubliez. C'est incroyablement dangereux », note James Stanger.
« C'est pourquoi, il est impératif de collaborer avec des experts pour les outils que vous avez », confirme Ashley Stephenson, PDG de Corero Network Security. « Les connaissances spécifiques au produit sont importantes pour s'assurer que vous pouvez exploiter les outils que vous choisissez ».

2. L'analyse de sécurité.
Les outils sont importants, mais il est également essentiel de comprendre comment ils s'inscrivent dans votre stratégie globale de sécurité, explique James Stanger. « Avant de pouvoir déterminer les outils dont vous avez besoin et comment les utiliser, vous avez besoin de quelqu'un qui comprenne la sécurité et ses enjeux pour l'entreprise », dit Stanger. Comment votre entreprise fonctionne-t-elle ? Quelles sont ses caractéristiques uniques, ses marchés, ses clients, tous ces aspects influent sur la politique de sécurité et chaque entreprise a des problèmes différents.
L'analyse de sécurité peut identifier les conditions qui facilitent les attaques et aider à minimiser ces surfaces d'attaque, ajoutant que les données de CompTIA montrent que la demande d'analystes de sécurité augmentera de 18 % d'ici 2020.

Publicité3. La gestion de projet.
Les compétences en gestion de projets informatiques sont toujours très demandées, mais les gestionnaires de projet spécialisés dans la sécurité deviennent également particulièrement précieux, explique James Stanger. Ce qui était du domaine d'un admin sysadmin général ou d'un administrateur de réseau est devenu plus spécialisé.
« Certes, vous pourriez simplement installer un antivirus, un filtrage de spams, peut-être même des outils de défense du périmètre. Mais maintenant, vous devez penser vos solutions de sécurité comme des projets et comprendre comment les intégrer au reste de vos systèmes et leur ajouter de la formation, de la maintenance, des mises à niveau. Les compétences en gestion de projet axées sur la sécurité sont extrêmement importantes », conclut James Stanger.

4. La réponse aux incidents.
La réponse à l'incident est un autre élément vital lorsqu'il s'agit de sécuriser les systèmes informatiques. Splunk est l'un des outils les plus connus, principalement en raison de sa prévalence dans les systèmes informatiques du gouvernement américain. La demande pour les professionnels ayant des compétences Splunk a considérablement augmenté (aux Etats-Unis).
« La plupart du temps, les entreprises ne peuvent pas garder le niveau de personnel où elles sont, et même si elles le peuvent, cela devient cher. Donc, ce que nous voyons, c'est que les organisations engagent des spécialistes de la sécurité contractuels pour faire des analyses, puis former le personnel existant de la société afin qu'elle puisse continuer « , explique Stephen Zafarino, directeur du recrutement chez Mondo. Cela peut impliquer la formation du personnel existant et le renforcement des outils automatisés de détection et d'atténuation.

5. L'automatisation et le DevOps.
Les menaces et les outils de cybersécurité évoluent en permanence. Traditionnellement, les organisations auraient des équipes de sécurité chargées de surveiller et d'atténuer les vulnérabilités, mais ce n'est plus une solution réalisable aujourd'hui.
« Les entreprises s'appuient sur les tâches et sur l'automatisation pour pouvoir gérer le paysage de la menace », dit Stephen Zafarino. « Comment pouvons-nous comprendre les anomalies, puis les mettre en quarantaine pour pouvoir les analyser ? Quelles menaces traitons-nous, d'où viennent-elles et comment bloquons-nous les accès ? Quelles sont nos faiblesses ? Comment pouvons-nous empêcher que cela se reproduise ?
L'automatisation permet d'identifier et d'arrêter les menaces et les attaques avant de submerger l'entreprise, après quoi, le personnel informatique peut intervenir et exécuter des tâches de sécurité plus complexes et sensibles au contexte, déclare Brad Antoniewicz, professeur adjoint et pirate à la Tandon School of Ingénierie. Brad Antoniewicz fait partie d'une équipe composée de pirates informatiques éthiques et de chercheurs de données dont le travail consiste à rechercher des menaces nouvelles et émergentes, les identifier et trouver la meilleure façon de les contrer. « Ces professionnels de la sécurité doivent résoudre les problèmes, prendre beaucoup d'informations et déterminer si l'enquête doit se baser sur ce que les outils leur racontent. Et, malheureusement, ce n'est pas un jeu de compétences que vous pouvez facilement obtenir, il faut avoir beaucoup d'expérience ».

6. Science des données et analyse des données.
Les énormes quantités de données collectées peuvent être utilisées pour suivre les menaces, identifier les attaques potentielles et surveiller l'efficacité des contre-mesures. Mais ce faisant, il faut des compétences et de l'expérience en analyse.
« Le domaine de la cybersécurité a besoin de personnes ayant la formation, l'expérience et les connaissances pour tirer parti de ces outils d'analyse, y compris l'apprentissage machine, les algorithmes et même l'IA pour traiter toutes ces données et analyser les rapports pour obtenir des résultats », souligne Ashley Stephenson. « Nos clients souhaitent des données scientifiques, plus particulièrement en matière de sécurité, ainsi que dans un domaine comme le commerce électronique où ces deux zones se croisent », explique Stephen Zafarino.
« Je ne peux que souligner l'importance de la science et de l'analyse de données de notre équipe », note Brad Antoniewicz. « Pour les grandes organisations, il peut y avoir des milliers de flux de données alimentant des millions d'événements en outils , comme Splunk, ainsi que des informations sur les transactions financières, les journaux netflow, les alertes de sécurité, le trafic DNS, toutes ces données dispersées circulant dans un dépôt unique. Les chercheurs de données aident à identifier les signaux afin que nous puissions mieux répondre aux incidents ».

7. Les compétences en scripting.
Avec tant de pièces mobiles différentes, les compétences en script sont une exigence pour que tous ces éléments et ces outils fonctionnent bien ensemble, affirme Ashley Stephenson. « Ma préférence personnelle est Python pour les scripts, mais d'autres utilisent Perl ou même un autre langage de script. Vous avez besoin de tous ces outils pour bien vous interfacer avec les systèmes de messagerie comme Slack, les tableaux de bord et les systèmes de surveillance et les outils de gestion des incidents », dit-il.

8. Les compétences douces.
Dans le monde de la sécurité, les compétences douces prennent un sens légèrement différent, dit Brad Antoniewicz. Bien que la communication, la collaboration et le travail d'équipe soient importants, il existe selon lui un élément de réflexion critique et même de psychologie. « Vous devez penser comme les« méchants »- vous devez connaître les astuces d'ingénierie sociale afin de pouvoir identifier des vecteurs comme les attaques de phishing et d'autres tentatives malveillantes. Vous devez savoir comment vos employés et vos clients sont susceptibles de répondre et de se fortifier contre les menaces ».
Les professionnels de la sécurité doivent également bien fonctionner sous pression et être en mesure de trier rapidement, en donnant la priorité aux actions visant à diminuer les dégâts en cas d'attaque, savoir comment procéder après une attaque. « Vous obtenez toutes ces informations, toutes ces alertes, vous savez que quelque chose se passe, et peut-être est-ce mauvais. Peut-être qu'il y a un attaquant sur le réseau, et vous devez le contrer. Savoir comment prioriser rapidement les problèmes et répondre rapidement et avec précision s'avère crucial ».
« C'est pourquoi, il est si important que les organisations n'engagent pas seulement de grands talents de sécurité, mais qu'elles les conservent ».

9. La médecine légale post mortem.
Les talents de la sécurité doivent également comprendre comment mener une enquête post mortem ou judiciaire après un incident, déclare Ryan Corey, cofondateur du fournisseur Cybrary. Un certain nombre de grandes organisations organisent des formations sur ce sujet. « Nous constatons que la réponse aux menaces, l'analyse des logiciels malveillants et les inscriptions post-mortem s'approfondissent à mesure que les entreprises apprennent de ces menaces existantes et émergentes et améliorent leurs capacités pour y faire face », affirme Ryan Corey.

10. La passion pour leur métier.
« Enfin, les bons talents de sécurité ont une passion pour leur travail et le désir de partager cette connaissance, explique Brad Antoniewicz. Cela peut se manifester de diverses façons, de la reprise d'un nouveau langage de programmation à la prise de cours pour partager activement les connaissances dans leur organisation ou lors de rencontres communautaires ».
« Une personne compétente en sécurité aura la passion de partager son savoir, d'apprendre et de progresser tout le temps. Je dirais que c'est la compétence la plus importante. Engagez quelqu'un qui demande à aller à des conférences, qui s'inscrit à des cours, qui aime parler avec d'autres personnes dans l'industrie », conclut-il.

Article de Sharon Florentine / IDG News Service (traduit et adapté par Didier Barathon)

Conférence cybersécurité : rdv le 21 novembre !

Le 21 novembre prochain, CIO vous donne rendez-vous pour une Matinée Stratégique, Cybersécurité : nouvelles menaces, nouvelles solutions.

Retrouvez le programme complet et les détails pratiques ici.

La matinée tournera autour de quatre grands thèmes : bien identifier les nouvelles menaces, protéger les nouveaux développements, responsabiliser l'utilisateur, capter les nouvelles solutions technologiques.

L'événement repose surtout la qualité des intervenants :
. Henri d'Agrain, délégué général du Cigref.
. Alain Bouillé, Président du Cesin et Directeur de la sécurité des SI Groupe à la Caisse des Dépôts.
. Gérôme Billois, Partner Cybersecurity & Digital Trust, au cabinet Wavestone.
. Mahmoud Denfer, Global CISO, Vallourec.
. Philippe Loudenot, FSSI, Ministère Sociaux.
. Stéphane Nappo, Global CISO, Société Générale IBFS.
. José Perez, RSSI, Allianz.