3,5 millions d’emplois non pourvus dans la cybersécurité au niveau mondial en 2021
C’est le constat auquel est parvenu PWC. Le cabinet d’étude a mené une enquête au niveau mondial : il en ressort que le premier problème des dirigeants est, encore et toujours, de dénicher les compétences. En France, 61% des répondants prévoient de recruter l’année prochaine.
C’est un marronnier pour le secteur de la cybersécurité : la pénurie de talents. Il n’est une surprise pour personne que les entreprises ont du mal à recruter. Selon une étude de PWC, 3,5 millions de postes en cybersécurité resteront non pourvus dans le monde en 2021. Plus de la moitié des dirigeants au niveau mondial prévoient d’embaucher du personnel de cybersécurité à plein temps durant l'année à venir, et plus de 22% déclarent qu'ils vont augmenter leurs effectifs d’au moins 5%. Dans l’Hexagone, 61% des entreprises interrogées prévoient d’augmenter leurs effectifs l’année prochaine.
Une entreprise française sur deux va d’ailleurs augmenter l’enveloppe allouée à la cybersécurité en 2021 : les budgets cyber semblent être les grands gagnants de la crise sanitaire. Avec le recours massif au télétravail et l’accroissement de la surface de menaces en résultant, les entreprises ont pris conscience de l’intérêt d’avoir une stratégie en matière de sécurité de leurs systèmes d’informations, et, selon PwC, elles cherchent à rationaliser ces politiques grâce à l’automatisation des technologies.
Moins de techno, plus d’organisation
Mais la réponse aux attaques semble aujourd’hui moins technologique qu’organisationnelle. Pour Jean-Bernard Rambaud, Associé au sein du pôle Cyber Intelligence chez PwC France et Maghreb, sous l’effet de la Covid-19, les entreprises ont repensé leurs stratégie et, “désormais moins axés sur les technologies, les responsables cybersécurité travaillent davantage en collaboration avec les équipes métiers, ce qui renforce la résilience de l’organisation dans son ensemble. La cybersécurité est une thématique de plus en plus abordée dans toutes les décisions métiers de l’entreprise”.
Conséquence : la moitié des entreprises sont davantage disposées à mettre de la cyber dans chacune de leurs décisions opérationnelles. Elles n’étaient qu’un quart l’an dernier. De même, 51% des dirigeants interrogés veulent davantage échanger de manière fréquente avec leur responsable de la sécurité des systèmes informatiques. Côté français, 40% des répondants observent que la crise sanitaire a intensifié les interactions entre les équipes de sécurité et les dirigeants ou les conseils d'administration. Bilan de ce “shift” organisationnel, les trois quarts des entreprises considèrent avoir progressé dans leur manière de répondre aux incidents.
Le FIC décalé à avril 2021
Compte tenu de la situation sanitaire, l’organisation de la grand messe française de la cybersécurité opte pour la prudence. Le FIC, qui devait se tenir fin janvier à Lille est décalé à avril.
En début d’année 2020, le Forum International de la Cybersécurité de Lille était l’un des derniers évènements tech à se tenir en France avant que la situation sanitaire ne se dégrade et que salons et conventions ne soient annulés les uns après les autres. La 20ème édition du FIC était la première à se tenir sur trois jours, et non sur deux, et avait réuni 12 500 visiteurs venus de 110 pays.
Difficile avec le coronavirus d’organiser pareil événement, considérant les jauges actuelles. Mais l’organisateur, le CEIS, était resté droit dans ses bottes : le FIC 2021 devait se tenir fin janvier, les inscriptions avaient d’ailleurs été ouvertes le 19 octobre. Du moins jusqu’à ce qu’arrive le second confinement.
Lille en avril
On apprend désormais que la 21ème édition du FIC est repoussée, malgré les efforts de CEIS, de la Gendarmerie nationale et de la Région Hauts-de-France. “L'évolution récente de la crise sanitaire ne permettra pas d'accueillir exposants et visiteurs dans des conditions optimales au mois de janvier” écrit l’organisation. L’événement se tiendra donc les 6, 7 et 8 avril prochain.
Un protocole sanitaire est d’ores et déjà en place, quand bien même il est susceptible de modifications d’ici à avril en fonction du contexte sanitaire. Ainsi, en guise de goodies, un kit sanitaire sera offert aux visiteurs avec un masque lavable et réutilisable, cinq masques à usage unique et un flacon de solution hydroalcoolique. Les tests PCR ne seront pas obligatoires. Notons qu’au FIC se tiendra la première édition de l'EC2 (European Cyber Cup), compétition européenne d’eSport entièrement dédiée au hacking éthique.
La FTC épargne une amende à Zoom, sous conditions
L’outil de vidéo-conférence se voyait reprocher non seulement de négliger la sécurité de ses utilisateurs, mais aussi de mentir sur le niveau de protection qu’il offrait. Pour autant, Zoom échappe à la sanction, s’engageant auprès de la FTC à changer ses pratiques et à renforcer sa sécurité.
Lors du premier confinement, alors qu’il connaissait un boom sans précédent, Zoom était dans le viseur des chercheurs en sécurité informatique. Pas une semaine ne se passait sans qu’une faille ne soit découverte et il faut encore y ajouter les mensonges de l’entreprise quant à la sécurité de son outil de vidéo-conférence. Si Zoom a depuis changé son fusil d’épaule et sa politique, déployant moult correctifs et renforçant son chiffrement, la Federal Trade Commission s'était auto-saisie et a mené l’enquête.
Elle en livre désormais les conclusions et force est de constater que Zoom s’y fait étriller. La FTC estime ainsi que depuis au moins 2016, Zoom a induit les utilisateurs en erreur en assurant qu’il fournissait un chiffrement robuste de bout en bout, ce qui n’était absolument pas le cas : l’outil ne supporte le chiffrement AES-256 de bout en bout que depuis fin octobre. De même, Zoom prétendait que les enregistrements des réunions étaient immédiatement chiffrés et sécurisés... sauf qu’ils restaient en réalité sur les serveurs de l’entreprise, en clair, pendant au moins 60 jours avant d’être transférés vers son stockage cloud sécurisé.
Le cas du programme ZoomOpener sur Mac a également marqué la FTC : ce logiciel se comportait comme un véritable malware, contournant les mécanismes de sécurité de Safari et de macOS pour installer, sans interaction utilisateur, le client Zoom. Et dans les notes de sa mise à jour de juin 2018, Zoom ne précisait pas que l’update installerait automatiquement ZoomOpener sur le terminal de l’utilisateur, et que ce programme ne serait pas supprimé quand bien même Zoom était désinstallé.
Zoom s’engage
Ce ne sont là que quelques-uns des méfaits qui ont pu être reprochés à l’outil de vidéo-conférence. Pour Andrew Smith, le directeur du Bureau de la protection des consommateurs de la FTC, "les pratiques de sécurité de Zoom ne correspondaient pas à ses promesses”. A l’époque, plusieurs organismes publics avaient, du fait de ces problèmes, abandonné Zoom. La ville de New York l’avait ainsi interdit dans les écoles tandis que l’Utah, le Nevada ou encore l’Etat de Washington déconseillaient son utilisation.
Mais, depuis, Zoom a multiplié les efforts pour renforcer la sécurité de son outil. La FTC a pris acte de cette nouvelle trajectoire et évite à l’entreprise une amende salée, en contrepartie de quoi Zoom a dû prendre plusieurs engagements. Il doit ainsi mettre en œuvre un programme de gestion de la vulnérabilité, instituer des contrôles de suppression des données; empêcher l'utilisation d'identifiants d'utilisateurs compromis connus et faire réaliser des audits biennaux qui seront évalués par la FTC.
Surtout, “il est également interdit à Zoom de faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité, y compris sur la façon dont il recueille, utilise, conserve ou divulgue des renseignements personnels; ses caractéristiques de sécurité; et la mesure dans laquelle les utilisateurs peuvent contrôler la confidentialité ou la sécurité de leurs informations personnelles”.