Discussion :

[Stéphane le calme]

Environ six organisations sur dix emploient un expert en cybersécurité,
selon une enquête de Gartner qui évoque les défis rencontrés par les DSI

Selon un sondage réalisé par Gartner, Inc., 95% des DSI s'attendent à une augmentation des cybermenaces au cours des trois prochaines années, mais seulement 65% de leurs organisations disposent actuellement d'un expert en cybersécurité. L'enquête révèle également que les défis des compétences continuent de peser sur les entreprises qui vont vers le numérique, les pénuries de personnel de sécurité numérique étant considérées comme un obstacle majeur à l'innovation.

Pour les besoins de son enquête, Gartner a rassemblé des données auprès de 3 160 répondants DSI dans 98 pays et dans de grandes industries, représentant environ 13 milliards de dollars de revenus / budgets du secteur public et 277 milliards de dollars de dépenses informatiques.

L'enquête indique que la cybersécurité demeure une source de profonde préoccupation pour les organisations. Selon Rob McMillan, directeur de recherche chez Gartner, de nombreux cybercriminels agissent non seulement selon des méthodes que les organisations ont du mal à anticiper, mais aussi parce qu'ils sont prêts à s'adapter à des environnements changeants.

« De manière tordue, de nombreux cybercriminels sont des pionniers du numérique, trouvant des moyens de tirer parti des mégadonnées et des techniques à l'échelle du Web pour lancer des attaques et voler des données », a déclaré McMillan. « Les DSI ne peuvent pas protéger leurs organisations contre tout, ils ont donc besoin de créer un ensemble de contrôles durables qui équilibrent leur besoin de protéger leur entreprise avec leur besoin de la faire fonctionner ».

Trente-cinq pour cent des personnes interrogées indiquent que leur organisation a déjà investi et déployé certains aspects de la sécurité numérique, tandis que 36% supplémentaires l’expérimentent activement ou prévoient de la mettre en œuvre à court terme. Gartner estime que 60% des budgets de sécurité seront consacrés aux capacités de détection et de réponse d'ici 2020.

« Adopter une approche fondée sur le risque est impératif pour établir un niveau cible de préparation à la cybersécurité », a déclaré McMillan. « Augmenter les budgets à eux seuls ne crée pas une meilleure posture de risque, les investissements dans la sécurité doivent être priorisés par les résultats de l'entreprise pour s'assurer que la bonne quantité est dépensée pour les bonnes choses ».

La croissance des entreprises introduit de nouveaux vecteurs d'attaque

Selon l'enquête, de nombreux DSI considèrent la croissance et la part de marché comme la première priorité des entreprises pour 2018. La croissance signifie souvent des réseaux de fournisseurs plus diversifiés; différentes façons de travailler, de nouveaux modèles de financement et modèles d'investissement technologique; ainsi que différents produits, services et canaux à soutenir.

« La mauvaise nouvelle est que les menaces à la cybersécurité toucheront plus d'entreprises de manières plus diverses et difficiles à anticiper » a affirmé McMillan. « Alors que l'attente d'un environnement plus dangereux n'est pas une nouvelle pour le DSI informé, ces facteurs de croissance introduiront de nouveaux vecteurs d'attaque et de nouveaux risques auxquels ils ne sont pas habitués ».

Une pénurie de compétences en cybersécurité

L'enquête a révélé que 93% des responsables informatiques des entreprises les plus performantes déclarent que les activités numériques leur ont permis de diriger des organisations informatiques adaptables et ouvertes au changement. Au bénéfice de nombreuses pratiques sécuritaires, cette ouverture culturelle élargit l'attitude de l'organisation face aux nouvelles pistes de recrutement et de formation.

« La cybersécurité est confrontée à une pénurie de compétences bien documentée, considérée comme l'un des principaux inhibiteurs de l'innovation », a déclaré McMillan. « Trouver des personnes talentueuses et motivées pour gérer les responsabilités de l'organisation en matière de cybersécurité est une fonction sans fin ».

Selon Gartner, alors que la plupart des organisations ont un rôle dédié à l'expertise en cybersécurité, et donc en apprécient les avantages, la pénurie de compétences en cybersécurité continue. Gartner recommande que les responsables principaux de la sécurité de l'information continuent de renforcer leurs capacités en adoptant des approches innovantes pour développer les capacités de l'équipe de sécurité.

Source : Gartner

Et vous ?

Pensez-vous, comme Rob McMillan, qu'augmenter le budget des DSI n'est pas suffisant pour mieux protéger les organisations ?
Quelles sont, selon-vous, les meilleures pratiques pour qu'une organisation puisse se protéger au mieux ?

Voir aussi :

Trump et Poutine envisagent la mise sur pied d'un groupe de travail sur la cybersécurité, une idée bottée en touche par des observateurs
Facebook pourrait bientôt avoir un concurrent open source et sans pistage, soutenu par des pionniers de la vie privée et de la cybersécurité
Thermanator : nouvelle forme d'attaque cybercriminelle de vol de mot de passe, qui exploite l'énergie thermique résiduelle laissée sur les claviers
Kaspersky : les stratagèmes d'ingénierie sociale liés aux cryptomonnaies ont rapporté aux cybercriminels près de 10 millions de dollars l'an passé
Kaspersky : 77 % des organisations industrielles s'inquiètent des incidents de cybersécurité, mais la moitié n'a aucun programme de réponse approprié

[cryptonyx]

Le mot "expert" est sans doute inapproprié pour une grande partie des emplois et il serait sans doute plus juste de parler de "spécialistes" en général, certains d'entre eux étant des experts. Reste que la pénurie des uns et des autres est bien réelle.