Il a toujours été difficile de trouver et de recruter un bon pirate informatique quand on en a besoin. Mais, comme le paysage des menaces et les approches en matière de cybersécurité ont évolué pour les organisations canadiennes au cours des dernières années, l'écart croissant entre les talents disponibles et les rôles compris a donné lieu à ce qu'un récent rapport de Deloitte a appelé une "pénurie chronique de talents en cybersécurité". Selon cette étude, les organisations canadiennes devraient recruter 8 000 nouveaux rôles en cybersécurité entre 2016 et 2021, mais même en 2020, l'écart s'avère extrêmement difficile à combler. Le talent est là, bien qu'il soit peut-être caché dans des chambres ou qu'il se languisse dans d'autres rôles moins adaptés. Le problème est que les approches en matière de formation, de recrutement et de stratégie n'ont pas encore rattrapé les besoins du monde réel.
Au sein des organisations, la politique et les pratiques en matière de cybersécurité ont traditionnellement été l'apanage des départements informatiques, et ce de manière largement réactive. Aujourd'hui, les équipes de cybersécurité les plus efficaces sont indépendantes des services informatiques et sont présentes dans les conversations à tous les niveaux de l'entreprise. La sécurité n'est pas simplement une question opérationnelle, mais une question stratégique et existentielle. À mesure que les organisations s'orientent vers une approche de gouvernance, de risque et de conformité (GRC), la cybersécurité devient plus qu'une responsabilité professionnelle, mais une priorité dans toute l'organisation, avec des budgets distincts et des voies de reporting dans les opérations informatiques quotidiennes.
La mise en place d'un nouveau type d'équipe de cybersécurité pour l'entreprise moderne ne se limite pas à convaincre les talents réticents de se joindre à l'équipe. Il faut aussi modifier les attentes et les hypothèses internes, et normaliser au niveau du secteur pour mettre en place les bons parcours de formation et de recrutement. Les équipes doivent être constituées et recrutées par le biais d'une planification stratégique à long terme, plutôt que par des préoccupations réactives, basées sur des incidents.
Ainsi, alors que les entreprises constatent une demande insatisfaite pour de nouveaux postes dont elles ne soupçonnaient pas l'existence, comment créent-elles et trouvent-elles les bons talents pour ces tout nouveaux rôles, et construisent-elles une structure à long terme avec des voies de développement claires? Comment peuvent-elles même rédiger une description de poste pour des rôles qui n'ont jamais existé pour elles auparavant? La réponse, au niveau de l'industrie, est une évolution importante vers la normalisation.
Au-delà des descriptions de poste dépassées, vers des normes centrées sur l'humain
La nature non traditionnelle de bon nombre des rôles clés d'une équipe de sécurité moderne peut rendre le recrutement extrêmement difficile. Les parcours de formation actuels au Canada ne mènent pas nécessairement à des certifications claires et évidentes correspondant aux responsabilités requises, et les étudiants ne comprennent pas nécessairement les attentes de ces nouveaux rôles. En l'état actuel des choses, vous ne pouvez pas rédiger une description de poste avec une liste de qualifications et de compétences, ou d'années d'expérience dans l'industrie, et vous attendre simplement à trouver la bonne personne avec ces critères de recherche de base.
Au contraire, une approche de recrutement doit commencer par une évaluation approfondie des besoins et des ensembles de compétences existants au sein d'une organisation. Deloitte préconise une approche "centrée sur l'humain" - en pratique, nous pensons que c'est assez simple à formuler : vous devez comprendre qui peut faire quoi, et ce dont vous avez besoin qu'ils ne peuvent pas faire. Ce dont une organisation a le plus besoin pour élaborer ce type d'approche est identique à ce dont les éducateurs et les recruteurs ont besoin - une normalisation solide des rôles et des exigences d'une manière suffisamment souple pour fonctionner dans tous les secteurs et dans tous les flux de travail existants.
Au Canada, ces efforts de normalisation indispensables sont menés par Technation (anciennement ACTI, l'Association canadienne de la technologie de l'information) dans le cadre d'un processus pluriannuel réunissant toutes les parties prenantes. Les efforts de Technation s'appuient sur le travail considérable déjà accompli par le NIST aux États-Unis pour élaborer le cadre du National Institute for Cybersecurity Education (NICE), qui codifie les normes professionnelles nationales (NPN) adaptées aux besoins uniques de l'industrie canadienne et aux exigences réglementaires.
À quoi doit ressembler une équipe de cybersécurité moderne?
Le cadre NICE est utile mais extrêmement complexe et tend à être mieux adapté aux institutions grandes et variées. Les efforts de Technation visent à le simplifier de manière à encourager une mise en œuvre plus souple et plus réaliste au sein des entreprises de toutes sortes. L'approche que nous décrivons ici est celle de l'ADGA, inspirée par le processus Technation mais basée sur notre interprétation de ce qui fonctionne sur le marché actuel. Au fur et à mesure que les normes s'établissent, nous espérons qu'elles reflètent également les préoccupations opérationnelles et stratégiques du monde réel.
L'équipe de cybersécurité moderne ne doit pas être considérée simplement en termes de rôles offensifs et défensifs - une division qui met généralement l'accent sur la réactivité plus que sur la stratégie - mais plutôt en fonction de cinq catégories clés de responsabilités qui s'appliquent à tous les aspects des opérations d'une organisation, quel que soit le secteur d'activité, tout en englobant un éventail de rôles techniques et non techniques.
Nous avons énuméré une série d'exemples de rôles dans chaque catégorie - les rôles ne sont pas limités à ceux énumérés ici.
| Catégorie |
Exemples de rôles |
1. Superviser et gouverner
Une équipe de direction compétente en matière de cybersécurité, tant au niveau de la direction générale que de l'encadrement supérieur. |
Responsable de la sécurité de l'information
Un rôle de direction stratégique de haut niveau, responsable de la sécurité des informations et des données d'une organisation.
Chef de la sécurité de l'information Responsable de la sécurité de l'information des entreprises
Assure la liaison entre les dirigeants de l'entreprise et de la technologie pour garantir que les plans de sécurité sont respectés et qu'ils sont au cœur de la stratégie globale.
Conseiller principal en matière de renseignement de sécurité
Fournit des conseils d'experts fondés sur le renseignement et une évaluation des menaces à la direction générale, tant pour la planification que pour l'exécution.
Responsable de la sécurité des systèmes d'information
Un rôle opérationnel, chargé d'établir des politiques, des plans et des processus autour de la sécurité des systèmes, et d'informer et de guider les utilisateurs. |
2. Conception et développement
Rôles chargés de mettre en œuvre la stratégie de cybersécurité et de concevoir des solutions de sécurité pour soutenir les opérations de sécurité d'une organisation. |
Architecte de la sécurité des systèmes d'information (ISSA)
Un rôle de haut niveau responsable de la conception, de la construction, des tests et de la mise en œuvre des systèmes de sécurité dans le réseau d'une organisation.
Ingénieur DevSecOps
Responsable de la mise en œuvre et de la gestion du programme DevSecOps dans une organisation, en intégrant la sécurité dans le cycle de vie du développement logiciel (SDLC).
Architecte de la sécurité des applications / Développeur logiciel senior
Travaille avec les équipes de développement et d'architecture pour créer des applications sécurisées, tester les faiblesses et les vulnérabilités, et fournir des conseils aux équipes de développement.
Ingénieur en sécurité des systèmes d'information (ISSE) / Spécialiste des produits de sécurité technique
Responsable de l'application des principes d'ingénierie des systèmes à la création et à la maintenance de systèmes, projets, applications et processus commerciaux sécurisés. |
3. Analyse et collecte
Rôles qui recherchent de manière proactive, à l'intérieur et à l'extérieur de l'organisation, les menaces et les risques émergents, et qui analysent et testent ce qu'ils trouvent. |
Analyste des risques / Gestionnaire des risques de sécurité de l'information / Gestionnaire des risques de cybersécurité
Professionnel de la sécurité expérimenté chargé d'identifier et d'évaluer les risques liés aux technologies de l'information pour la confidentialité, l'intégrité et la disponibilité des actifs informationnels d'une organisation.
Analyste du renseignement sur les menaces (TIA)
Collecte et analyse des informations sur les menaces connues et fournit des recommandations pour atténuer les risques. Niveaux 1 (niveau d'entrée) à 5 (niveau de direction).
Testeur de pénétration de sécurité / PenTester / Ethical Hacker
Un rôle créatif, chargé d'émuler des scénarios du monde réel pour évaluer les vulnérabilités d'un réseau ou d'une application logicielle, et l'impact d'une exploitation réussie de ces vulnérabilités. |
4. Exploitation et maintenance
Quel que soit le flux de développement ou d'information d'une organisation, ce sont les rôles pratiques qui permettent aux processus de cybersécurité de fonctionner de manière efficace et effective. |
Ces rôles se recoupent dans une large mesure, d'un point de vue pratique, avec ceux de « Conception et développement », car les personnes qui occupent ces rôles sont généralement responsables du travail pratique.
Pour les descriptions, voir ci-dessus.
Architecte de la sécurité des systèmes d'information (ISSA)
Ingénieur DevSecOps
Architecte de la sécurité des applications / Développeur logiciel senior
Ingénieur en sécurité des systèmes d'information (ISSE) / Spécialiste des produits de sécurité technique |
5. Protéger et défendre
Les intervenants pratiques en cas d'incident, informés par l'équipe élargie mais dédiés à une action rapide. Ils peuvent être positionnés au sein d'une équipe d'intervention cybernétique ou d'un SOC (Security Operations Center). |
Enquêteur en réponse aux incidents (IR) / Opérateur SOC / Analyste en sécurité
Détecte, évalue et traite les incidents de cybersécurité. Agit en tant que premier répondant ou triage pour les incidents.
Analyste en criminalistique numérique / enquêteur en criminalistique
Mène des activités d'expertise judiciaire au niveau de réseaux, de dispositifs et d'ordinateurs dans un rôle de réponse à un incident de sécurité. |
Les défis pour attirer les talents
En l'état actuel des choses, si vous recherchez ces postes, vous ne les trouverez probablement pas par les méthodes de recrutement traditionnelles. Il faudra de nombreuses années avant que les efforts de normalisation ne se concrétisent et que les critères de recherche puissent plus facilement faire correspondre les compétences à des NPN définies.
À l'heure actuelle, de nombreuses personnes qui conviennent parfaitement à ces rôles ne postulent tout simplement pas pour des emplois traditionnels, ou ne cherchent pas dans les mêmes espaces que ceux que les organisations savent afficher. Les personnes attirées par ces rôles sont plus souvent motivées par le défi du travail lui-même, ce qui est rarement exprimé dans les descriptions de poste traditionnelles. Et, pour être franc, la jeune génération de professionnels de la sécurité qui a grandi en ligne a tendance à être réticente à l'idée de travailler à plein temps dans des bureaux situés en banlieue.
La composition d'une équipe doit être basée sur les besoins, avec du personnel permanent pour les postes critiques, et un mélange de recrutement de personnel, de recrutement tactique ou de recrutement par projet lorsque cela a du sens (par exemple pour des initiatives de développement autonomes). L'externalisation de fonctions entières, comme le renseignement, doit être envisagée lorsque l'expertise n'existe tout simplement pas dans la structure de l'entreprise.
Constituer une équipe avec ADGA
Chez ADGA, nous avons plus de 25 ans d'expérience dans la direction d'engagements et de mises en œuvre stratégiques en matière de cybersécurité pour des clients de tous niveaux à travers le Canada.
Nos processus de recherche, de sélection et d'intégration des candidats ont été testés et éprouvés au fil du temps, et ont évolué pour s'adapter à un paysage en constante mutation.
Avec plus de 1 000 candidats présélectionnés dans nos registres et une compréhension de ce qu'ils peuvent apporter à une organisation dans le cadre de ce nouveau modèle normalisé, notre approche permet de constituer des équipes modernes efficaces et centrées sur l'humain.
Les membres clés de l'équipe de cybersécurité moderne
| Responsable de la sécurité de l'information (CISO) |
L'approche de la cybersécurité de mon entreprise s'étend jusqu'à
mon rôle. Je représente l'ensemble de l'équipe au niveau de la C-Suite, en veillant à ce que tout se passe bien et que nos projets prioritaires bénéficient du financement et de l'adhésion des dirigeants pour que nous puissions tous rester à l'affût des menaces. Je travaille en étroite collaboration avec la direction technique (CTO) sur les questions de mise en œuvre et de stratégie, mais nous sommes de même niveau hiérarchique et ils me considèrent comme un collaborateur de confiance et essentiel.
Je suis dans le secteur
l'industrie depuis plus de 15 ans,
principalement au sein de grandes
grandes entreprises,
Je sais donc ce qui fonctionne et ce qui ne fonctionne pas sur le plan politique et opérationnel.
et opérationnellement. Je ne suis pas
Je ne suis pas du genre à dire non lorsqu'il s'agit
de la mise en œuvre et de la modernisation de la technologie, je m'appuie sur
sur toute mon équipe pour montrer comment les approches modernes de la cybersécurité peuvent être collaboratives, réactives,
et axées sur l'humain.
|
| Architecte de la sécurité des systèmes d'information (ISSA) |
Je travaille dans ce secteur depuis 10 ans.
Je conçois et travaille sur toutes sortes de systèmes informatiques importants et complexes. Je garde un œil sur l'évolution des normes, des protocoles et des meilleures pratiques - dans ce secteur d'activité, elles changent tous les jours.
L'équipe attend de moi que j'anticipe les éventuelles menaces pour la sécurité, que j'identifie les faiblesses et que je sois présent pour l'équipe de réponse aux incidents lorsqu'il y a une brèche active. Elle a besoin de moi pour avoir une vue d'ensemble dans ces moments-là, pour veiller à ce que nous tirions des enseignements de ce qui se passe afin de continuer à assurer notre sécurité et notre protection, et pour être capable de l'expliquer au personnel non spécialisé de l'organisation dans un langage simple, afin de renforcer la sensibilisation à la sécurité. |
| Gestionnaire des risques de sécurité de l'information |
La gestion des risques consiste à évaluer de façon réaliste ce qui peut mal tourner, de manière constructive et collaborative.
Mon rôle est guidé par des cadres établis
comme COBIT 2019, NIST CSF et ISO 27001, que j'ai appris à connaître en profondeur au cours de la dernière décennie. J'aide l'ensemble de l'organisation à comprendre ces cadres comme des outils opérationnels utiles pour gérer les risques, et non comme des listes de règles statiques qui les empêchent de faire leur travail.
Je travaille avec les parties prenantes de toute l'entreprise pour les aider à comprendre et à mieux planifier les implications de leurs décisions en matière de cybersécurité, depuis les achats et la gestion jusqu'à la prestation et la continuité des services. Je veux qu'ils
soient en mesure de fonctionner conformément aux normes et aux meilleures pratiques, et je le fais en écoutant leurs besoins et en élaborant des plans pour garantir qu'ils puissent le faire avec un impact ou un risque minimal sur la sécurité. |
| Analyste principal du renseignement sur les menaces |
Je travaille dans le domaine du renseignement sur les menaces depuis plus de huit ans, et j'ai récemment été promu à un poste de niveau 4. Mon expérience n'a pas toujours été
dans des environnements d'entreprise.
J'ai commencé dans l'armée, où j'ai acquis de précieuses connaissances et leçons sur les menaces du monde réel qui correspondent bien aux défis auxquels
nous sommes confrontés en tant qu'entreprise. Quand une menace s'intensifie,
je cherche des preuves d'attaques non seulement sur nos propres réseaux, mais aussi dans la clandestinité en ligne, où les piratages peuvent être coordonnés dans des forums ou sur des sites TOR cachés.
J'ai appris à connaître en profondeur les tenants et les aboutissants de ces espaces sombres, et je peux y pénétrer sans éveiller de soupçons.
À mesure que j'accède à ce nouveau poste, je suis heureux d'être plus qu'un simple soutien pour le SOC lorsque les feux rouges commencent à clignoter. Je commence maintenant à avoir un droit de regard important sur des projets à plus long terme et à aider l'équipe de direction à évaluer et à comprendre comment les rapports de renseignements et les livres blancs de tiers s'appliquent à nous. |
| Testeur de pénétration |
Mon travail consiste à trouver les points vulnérables de l'infrastructure de notre entreprise, puis à les exploiter pour mieux comprendre l'impact d'une violation. Je fais cela
en essayant de la casser de toutes les manières possibles. C'est une sorte de rôle de « Chevalier blanc », mais pas uniquement : j'essaie de penser et d'agir comme les hackers que je connais, en décortiquant les logiciels malveillants que je trouve, en scrutant le code source, en reniflant le trafic dans notre réseau wi-fi, et en essayant et développant de nouveaux exploits. Il y a aussi l'ingénierie sociale, mais ce n'est qu'une petite partie; je n'essaie pas seulement de pousser les gens à faire des erreurs, mais aussi de mieux comprendre comment les choses peuvent être brisées au niveau du système.
C'est une chose de trouver les problèmes, mais la partie la plus gratifiante de mon travail est d'aider à construire des solutions
et d'expliquer les problèmes
à l'ensemble de l'équipe. Je ne peux pas simplement leur montrer mon script pour qu'ils comprennent le danger - ils doivent comprendre ce qui se passera si nous ne résolvons pas le problème, et ce qu'il faudra faire
pour assurer notre sécurité. |
| Enquêteur chargé de la réponse aux incidents (IR) / Opérateur SOC / Analyste de sécurité |
Même dans l'infrastructure de cybersécurité la mieux organisée, il y aura toujours des incidents réels. C'est là que j'interviens, en tant que première ligne de réponse lorsque les choses commencent à mal tourner. Je travaille au sein du SOC pour comprendre ce qui se passe et veiller à ce que nous adhérions aux meilleures pratiques en élaborant et en mettant en œuvre rapidement notre réponse à la menace qui se présente.
Bien sûr, toutes les menaces ne se ressemblent pas. Pendant que d'autres membres du SOC combattent activement la menace, je dois effectuer une analyse et un tri sur le terrain, puis communiquer la priorité pertinente aux autres membres de l'entreprise afin de mobiliser les bonnes ressources. Au fur et à mesure que je gagne en expérience, je travaille avec la direction pour m'assurer que tous les membres du SOC sont bien entraînés et que le SOP continue d'évoluer et de s'adapter aux attaques que nous avons dû combattre. |
