À part la psychologie derrière les cyberattaques, nombre d’ingrédients sont réunis et créent une recette pour les catastrophes, mais une lueur d’espoir réside dans la formation de la nouvelle génération des cybersécurité ou cyber défenseurs. Les désastres découlent notamment de l’innovation des techniques d’attaques et une sophistication des stratèges des hackers…
Les experts en cybersécurité n’ont jamais été aussi sollicités pour détecter ou résoudre des cas de hacking, et rapidement. Les futurs leaders de la discipline ont ainsi intérêt à bien s’équiper et à acquérir le bagage nécessaire pour faire une différence immédiate. Dans ce dossier, découvrez les méthodes pour former et encadrer la future génération des professionnels des cyberopérations.
Formation en cybersécurité de la future génération : quels sont les enjeux ?
Le risque de cybercriminalité va croissant à mesure que nos vies dépendent de plus en plus de la socialisation en ligne, des achats en ligne et autres opérations bancaires… Pour la protection des informations et de leurs biens via les cyberattaques, entreprises, particuliers et gouvernements comptent sur la cybersécurité. Le moment est donc plus qu’opportun pour réfléchir sur la nécessité de l’éducation et la cyberhygiène.
Comme une forme d’alphabétisation numérique, la cybersécurité devrait être enseignée même dans les écoles, et pas uniquement dans le cadre de l’enseignement de l’informatique ou de la technologie. Pour assurer cette protection des données sensibles au niveau des systèmes d’entreprise et des infrastructures critiques, mais pas seulement, une main-d’œuvre solide et qualifiée, apte à mettre à l’abri des cybercriminels des réseaux et SI contre les accès non autorisés est incontournable.
À l’issue de son étude Cybersecurity Workforce Study de 2019, (ISC)2 souligne le besoin d’augmenter la main-d’œuvre de 145% pour satisfaire la demande mondiale. Celle-ci doit prévenir l’usurpation d’identité, les violations de données et d’autres activités de cybercriminalité. La protection des clients et des données au sein des organisations requiert une mise en place de mesures de sécurité efficientes. Et comme l’horizon des menaces s’élargit, une formation plus technique, continue faisant la part belle aux pratiques donnera à la future génération de cybersécurité les moyens adéquats pour agir.
Une perspective plus élargie : cruciale pour former la future génération de cybersécurité
Il est vrai que la temporalité entre l’attaque et la correction tend à se minimiser ces dernières décennies. Cependant, la rapidité fait encore défaut. Cela s’illustre par exemple par l’attaque de Colonial Pipeline. À part les failles de protection décelées, ce ransomware met aussi en évidence le besoin d’améliorer la posture de sécurité de l’infrastructure nationale. Moyennant des coûts faramineux, on les entreprises peuvent difficilement se remettre après ce type d’attaque.
Néanmoins, cela peut s’éviter par la mise en place d’une architecture de défense des réseaux informatiques ou CND. Mais le meilleur moyen de prévenir les cyberattaques reste évidemment l’éducation et la formation en cybernétique. D’un côté, lutter efficacement contre les cybercrimes implique un aperçu complet des dispositifs de sécurité disponibles. Mais de l’autre, la prévention de ces crimes exige aussi une vision élargie des techniques de formation des futures générations de professionnels en cybersécurité.
Comment former et encadrer la nouvelle génération de cybersécurité ?
Pour qu’elle soit efficace, adaptable et éthique, la nouvelle génération de cyberdiplômés doit faire l’expérience de menaces réelles à travers des scénarios pratiques. Ce qui la distingue de son homologue plus expérimentée, c’est qu’elle a les compétences pour contrer les attaques avant l’obtention même de leur diplôme. Il faut admettre que le secteur dynamique de la sécurité est moins tributaire aux diplômes officiels qu’à des aptitudes opérationnelles, ou encore à des compétences à trouver des solutions aux problèmes.
L’évolution constante du paysage numérique a besoin de professionnels dotés d’esprit critique, sachant s’accommoder au changement et qui apprennent rapidement. L’expérience sur terrain va permettre d’affiner aussi bien les compétences techniques que les soft skills utiles en cybersécurité. Les couloirs de l’université ne sont pas les voies exclusives pour travailler dans la sécurité informatique.
Démocratiser l’apprentissage de la sécurité numérique
Nous ne sommes pas en train de dévaluer les mérites de l’enseignement supérieure. Cependant, la formation pratique, l’apprentissage autonome comme en témoignent les autodidactes qui excellent dans cette industrie, les certifications, … sont autant de possibilités permettant de forger ses savoir-faire et d’accéder à une base solide du domaine.
Mieux encore. Les véritables prouesses en protection des données résultent souvent des connaissances pratiques tirées d’expériences du monde réel. Elles s’acquièrent à travers des bootcamps d’entraînement à la programmation, des stages, des cours en ligne ou l’alternance. Ces parcours non traditionnels méritent d’être connus pour démocratiser l’intégration dans l’univers de la cybersécurité. C’est aussi une manière de combler le déficit de talents qualifiés.
Cybersécurité : l’accompagnement des professionnels d’entreprises au service de la prochaine génération
Rien de tel qu’un avant-goût du métier dans les situations réelles pour apprendre la sécurité informatique. C’est le premier critère que doivent considérer les formateurs. L’étape de la consolidation des acquis doit s’appuyer sur l’application simultanée des connaissances théoriques en laboratoire aux côtés d’un mentor ou d’un expert de la cybersécurité. En outre, le programme de formation doit être conçu de manière à permettre un accès aux ressources techniques spécialisées.
La future génération de cybersécurité pourra ainsi être à l’aise avec les innovations, les nouvelles technologies ou les nouvelles tendances de cyberattaques. En vue de combler le manque criant de profils compétents, il peut aussi être pertinent d’encourager les nouveaux diplômés à accepter une embauche pour acquérir de l’expérience.
Nouvelle génération de cybersécurité : le mentorat pour monter en compétences
Primordial pour gagner la confiance des étudiants, le mentorat permet d’apporter un modèle de rôle dans l’industrie. Sans ce dernier, les apprenants peuvent en effet perdre l’intérêt à continuer leurs études en sécurité informatique. Le rôle de mentors peut être tenu par des experts afin d’encourager leurs successeurs aspirant à une carrière dans la cybersécurité. Le processus n’a pas à être rigide ni chronophage. L’accompagnement peut être aussi simple et ne prendre que quelques minutes à travers une discussion informelle concernant un sujet technique.
Le mentorat peut aussi prendre la forme d’une participation à des projets ouverts pour mettre le cyberopérateur au défi d’utiliser son jugement, ses connaissances pour ensuite lui fournir une rétroaction constructive. Cela peut impliquer un partage de conseils pour protéger des réseaux, pour un entretien d’embauche ou pour passer un examen de certifications…
Nécessité d’un cadre de compétences
Au vu de l’ensemble de compétences et les aptitudes requises par les cyberopérations, établir un cadre de compétences peut aider. Cela va de l’éthique aux compétences analytiques, techniques ou créatives… Le but est de lister les attributs souhaitables. Outre le mentorat, un cadre de compétences trouve aussi son utilité pour orienter un programme de formation.
Une implication nécessaire des organisations
En cybersécurité, on note l’importance d’évaluer l’attractivité d’une entreprise du point de vue de la nouvelle génération de diplômés. Permet-elle aux apprenants de postuler à une alternance ou un stage avant d’obtenir leur diplôme ? L’expérience pratique étant l’objectif de cette démarche. Mais sur des performances exceptionnelles, l’apprenant peut-il devenir un employé permanent ?
Avec la formation en interne, l’implication des communautés locales peut mener à la fidélisation des meilleurs talents de la cybersécurité même des années après. Dans cette perspective, une réflexion sur les manières dont les organisations peuvent s’impliquer pour encourager les jeunes à s’orienter vers une formation technique s’impose.
Les programmes d’immersion pour préparer une carrière dans la technologie
Apprendre est différent de faire. Ces programmes immersifs enseignent à la future génération spécialisée en cybersécurité les compétences requises pour avoir un impact dans la communauté qui les entoure. Au sein des entreprises technologiques, les dirigeants devraient penser à organiser des concours ou proposer des expériences professionnelles pour engager les futurs cybertravailleurs.
Il en est de même pour les universitaires et les responsables gouvernementaux. Les confronter à des failles de sécurité réelles constituerait des occasions de mettre à l’épreuve leurs compétences. De plus, ces types de résolution de problème sous pression les obligent à réfléchir pour identifier des solutions. C’est aussi lors des concours que les participants exploitent une infrastructure de réseaux ressemblant à celles des sociétés commerciales. Les évaluations porteront sur leur aptitude à réduire l’infiltration des systèmes, à faire en sorte de garder les services critiques en état de fonctionnement, à prévenir les fuites de données sensibles…
Cybersécurité : préparer les meilleurs profils à l’embauche
En vue de leur donner un ensemble de compétences avancées, il importe de donner aux étudiants de tous les âges un apprentissage dans des situations réelles. La question n’est pas uniquement de créer des tickets, de limiter le temps d’arrêt ou de garde des pare-feu en place. Il s’agit d’une gamme de compétences, avec le défi supplémentaire lié au temps ou à une communication efficace. C’est de cette façon que la nouvelle génération de leaders en cybersécurité pourra se préparer pour devenir les meilleurs candidats à l’embauche.
Impulser les normes éthiques et professionnelles
Face aux responsabilités et aux risques induits par les cyberopérations, il est également essentiel de promouvoir certaines normes auprès de la future génération de spécialistes en cybersécurité durant leur formation. Il s’agit des normes éthiques et professionnelles relatives aux politiques et codes de conduites, au respect de la loi. Au-delà des compétences, les cours prodigués doivent les aider à développer une pensée critique ainsi qu’un raisonnement éthique.
