Comment faire face à la pénurie de main-d'œuvre dans le domaine de la cybersécurité ?

La pénurie de main-d'œuvre dans le domaine de la cybersécurité bat son plein et les organisations du monde entier en ressentent les effets. Dans notre dernier ebook, nous proposons trois stratégies pour aider les responsables de la sécurité à faire face à la pénurie de main-d'œuvre.

Aujourd'hui, nous allons explorer l'une de ces stratégies : la modernisation de votre site PKI, qui peut être un atout pour l'efficacité de vos équipes informatiques et de sécurité, ainsi que pour la position de votre organisation en matière de sécurité. Mais tout d'abord, il convient de faire le point sur la myriade de facteurs qui expliquent la pénurie de main-d'œuvre dans le domaine de la cybersécurité. 

La pénurie de main-d'œuvre n'est pas un problème qui se résoudra rapidement. Ses symptômes et ses ramifications auront des répercussions majeures sur le monde des affaires pendant des années, alors même que la demande actuelle en talents dans le domaine de la cybersécurité dépasse la main-d'œuvre.

La pénurie de main-d'œuvre n'est pas non plus un problème nouveau. Cybersecurity Ventures rapporte qu'en 2013, un million de postes en cybersécurité n'ont pas été pourvus dans le monde. A étude sur la main-d'œuvre dans le domaine de la cybersécurité en 2022 réalisée par (ISC)² a montré que le réservoir de main-d'œuvre en cybersécurité a atteint un niveau record en 2022, avec 4,7 millions de travailleurs, soit une augmentation de 11 % par rapport à 2021. Toutefois, le déficit de main-d'œuvre s'est creusé de 26,2 %, créant une pénurie mondiale de 3,4 millions de travailleurs. Plus de 700 000 de ces postes vacants se trouvent aux États-Unis..

Cybersecurity Ventures affirme que la pénurie de main-d'œuvre se stabilise mais ne diminue pas.. Il prévoit que le déficit actuel de 3,4 millions de travailleurs se maintiendra jusqu'en 2025.

Une étude de Trellix montre que la pénurie affecte 85 % de la posture de sécurité des organisations. L'enquête de (ISC)² a interrogé des professionnels de la cybersécurité sur les plus grands obstacles exacerbés par la pénurie.

• Systèmes mal configurés (32%) 
• Manque de temps pour évaluer et gérer correctement les risques (30 %)
• Délai excessif dans l'application des correctifs aux systèmes critiques (29%)
• Contrôle des procédures et des processus (28%)
• Incapacité à rester à l'avant-garde des menaces actives contre les réseaux de l'entreprise (27%)
• Déploiements précipités (27%)

Ces vulnérabilités peuvent potentiellement perturber les opérations commerciales de manière significative, et aucune organisation n'est à l'abri. Crypto.com, la Croix-Rouge, Microsoft, Cash App et d'autres ont subi des des brèches notables en 2022. Le rapport d'IBM sur le coût d'une violation de données d'IBM a révélé que 85 % des organisations ont été victimes d'une violation de données, et que beaucoup en ont subi plus d'une.

Pour aggraver les conséquences, le coût d'une violation n'a jamais été aussi élevé. IBM estime que qu'une violation de données aux États-Unis coûte en moyenne 9,44 millions de dollars.et les violations dans le secteur de la santé coûtent encore plus cher - 10,10 millions de dollars en moyenne.

Bien qu'IBM ait constaté que les tentatives d'hameçonnage et les informations d'identification compromises étaient la cause la plus fréquente et la plus coûteuse des violations, les pannes de certificat sont de plus en plus fréquentes et de plus en plus coûteuses.

KeyfactorLe rapport " State of Machine Identity Management 2022 " (État de la gestion de l'identité des machines en 2022) a révélé que 81 % des entreprises ont subi au moins deux pannes perturbatrices causées par des certificats expirés au cours des deux dernières années, l'entreprise moyenne subissant quatre pannes liées à des certificats. Le coût moyen d'une panne de certificat pour une entreprise internationale de 5 000 personnes s'élève à 15 millions de dollars. s'élève à 15 millions de dollars.

Les raisons en sont multiples.

• Le volume de certificats utilisés par une entreprise moyenne dépasse largement le quart de million.
• Les trois quarts des organisations déclarent que l'utilisation croissante de certificats et de clés numériques a considérablement augmenté la charge opérationnelle de leur service informatique. 
• La diminution du cycle de vie des certificats pose un problème. En 2020, les cycles de vie des certificats ont été réduits de moitié, passant de 27 mois à 13 mois, ce qui a pour effet de doubler le travail et les risques liés à leur maintien pour les organisations qui ne disposent pas de processus d'infrastructure à clé publique (PKI) matures.

CyberSN, un site d'offres d'emploi dans le domaine de la cybersécurité, a indiqué que les démissions dans ce secteur avaient augmenté d'environ 20 % depuis le début de la pandémie. Avant la pandémie de Covid 19, les travailleurs du secteur de la cybersécurité, tant sur la côte Est que sur la côte Ouest, citaient le manque de perspectives d'évolution comme principale raison de démissionner. Il est à noter que l'épuisement professionnel ne figurait pas parmi les cinq premières raisons de quitter un poste sur l'une ou l'autre côte. Aujourd'hui, l'épuisement professionnel est la première raison de démission sur la côte ouest et la deuxième sur la côte est, représentant 30 % des démissions dans les deux cas.

De nombreuses équipes de cybersécurité perdent des heures à effectuer des tâches opérationnelles qui pourraient être facilement automatisées, ce qui leur permettrait de se concentrer sur d'autres responsabilités. Au-delà du gain de temps, l'automatisation peut également avoir d'autres effets positifs sur l'entreprise, en réduisant les risques associés à une mauvaise configuration due à une erreur humaine. Les équipes informatiques et de sécurité qui gèrent manuellement le site PKI de leur organisation sont confrontées à des obstacles, notamment

• Un manque d'expertise crée des inefficacités en aval.
  PKI est une entreprise qui ne pardonne pas. Il doit être conçu parfaitement dès le départ car certains éléments, une fois mis en place, sont impossibles à modifier sans un redémarrage du projet PKI . Les équipes généralistes possèdent rarement l'expertise nécessaire pour obtenir PKI du premier coup, ce qui leur donne plus de travail pour gérer et maintenir PKI.
• Les processus manuels entravent l'évolutivité
  Le processus de demande, de création, de délivrance et de suivi des certificats est fastidieux et manuel. Selon le rapport State of Machine Identity Management 2022 KeyfactorRapport 2022 sur l'état de la gestion de l'identité des machines42 % des personnes interrogées utilisent encore des feuilles de calcul pour assurer le suivi des certificats. Cela coûte sans aucun doute des heures et des heures à votre équipe chaque semaine.

• Le manque de centralisation nuit à la visibilité
  KeyfactorLe rapport " State of Machine Identity Management 2022 " de l'Institut de recherche sur les technologies de l'information et de la communication (IRIS) montre que la visibilité de l'état de tous les certificats à l'échelle de l'entreprise est la principale priorité des équipes PKI . La complexité de cette visibilité en fait un travail à part entière. Sans un centre centralisé pour la gestion de PKI, les équipes ne peuvent pas jeter les bases de l'automatisation ou agir de manière proactive pour prévenir les pannes de certificats.

Pour évaluer la viabilité de l'automatisation de votre site PKI, quelques facteurs doivent être pris en compte.

Consultez les équipes et les responsables qui touchent au processus PKI pour comprendre comment les certificats sont gérés et combien de temps il faut pour les approvisionner, les installer et les renouveler. 

Cette équipe peut vous aider à définir l'infrastructure de l'autorité de certification (AC) de votre organisation, les applications qui nécessitent des certificats et les flux de travail liés à la gestion des certificats. Avec cette vue d'ensemble en main, vous pouvez mieux évaluer le coût total de possession de votre stratégie PKI actuelle. Les questions suivantes vous aideront à déterminer le coût total de possession de vos processus de gestion PKI .

• Combien d'heures sont consacrées à la gestion de PKI par semaine et par mois, et quelle est la valeur monétaire de ces coûts de main-d'œuvre ?
• Quel est le montant des dépenses de votre organisation pour les outils et les droits de licence liés à PKI? 
• Quelle est la fréquence des pannes liées à l'obtention d'un certificat dans votre organisation ? 
• Combien de temps faut-il pour réagir à une panne liée à un certificat ?
• Combien perdez-vous en temps d'arrêt, en perturbation des processus, en perte d'opportunités et en atteinte à la réputation à cause de ces pannes ?

Le poids d'une gestion et d'une infrastructure PKI inefficaces n'est pas statique. Elle s'alourdira au fil du temps, à mesure que l'utilisation des certificats augmentera, que les réglementations en matière de conformité s'intensifieront et que les risques d'infraction s'aggraveront. Ne rien faire a un coûtLe fait de ne rien faire a un coût, un coût que vous devez prendre en compte lors de l'évaluation d'un investissement sur PKI .

Il est à noter que les organisations qui confient PKI aux équipes générales d'informatique et de sécurité le font au détriment de leurs tâches principales. Lorsque ces équipes sont contraintes de choisir entre ces tâches principales et la gestion de PKI, PKI passe presque toujours en second. C'est tout à fait naturel, mais cela s'accompagne d'un montant qui ne fera qu'augmenter à mesure que les organisations s'efforceront de faire plus avec moins de personnel dans tous les départements.

• Quels sont les risques liés à votre processus actuel PKI , et comment ces risques vont-ils s'accroître au fil du temps (y compris en matière de conformité) ?
• Si les membres de l'équipe qui s'occupent de PKI dans votre organisation avaient plus d'heures à consacrer à leurs responsabilités principales, non liées àPKI , quelle serait la valeur ajoutée pour l'entreprise ? Quelle est la part de cette valeur que vous perdez alors que PKI devient de plus en plus difficile à gérer et prend plus de temps à ces membres de l'équipe ?
• Les tâches du site PKI nuisent-elles à l'efficacité des membres de l'équipe dans leur rôle principal ? Par exemple, les problèmes sont-ils plus lents à résoudre ou payez-vous des heures supplémentaires aux membres de l'équipe pour qu'ils accomplissent la totalité de leur travail ? À quel moment la charge de travail exigera-t-elle une nouvelle embauche, et quel en sera le coût ?
• Au fur et à mesure que votre utilisation de PKI s'adaptera à votre processus actuel, vos problèmes s'adapteront également. À quel rythme deviendront-ils plus fréquents et plus graves ? Quel est le point de rupture pour votre organisation ? Combien coûtera ce point de rupture et combien coûtera le rétablissement ?

Bien que l'automatisation nécessite un investissement substantiel dans la technologie, c'est une grande victoire pour les organisations qui peuvent récupérer les gains d'efficacité perdus - ce qui a un avantage financier direct dans un marché du travail tendu.

PKI peut et doit permettre l'automatisation, la visibilité, l'évolutivité et une approche préventive et proactive. Une fois mis en place, la maintenance et la gestion de PKI deviennent moins contraignantes.

• Si votre équipe actuelle ( PKI ) pouvait automatiser, mettre à l'échelle et être proactive dans la gestion de PKI, combien de bande passante lui rendrait-elle, qu'elle pourrait consacrer à d'autres tâches de sécurité et d'informatique ? Et si vous pouviez leur retirer complètement PKI ?
• Quels sont les gains d'efficacité au niveau de l'infrastructure qui seront créés par la modernisation de PKI, et comment ces gains d'efficacité se traduisent-ils par une réduction des coûts ou une augmentation des recettes ? 
• Entre la diminution des pannes et l'augmentation du nombre d'heures de travail, combien de temps faudra-t-il pour que votre solution soit rentabilisée ?

Les professionnels de la cybersécurité et de l'informatique sont passionnés par le travail difficile qu'ils accomplissent. Ils ne s'épuisent pas à cause d'une surcharge de travail, mais à cause d'un travail inutile. Le moyen le plus souvent négligé pour modifier la courbe d'efficacité est de trouver et d'éliminer les processus manuels au profit de l'automatisation.

Et alors que l'augmentation des salaires des cyber-professionnels attirera sans aucun doute davantage de travailleurs dans le secteur et finira par combler la pénurie de main-d'œuvre, les experts estiment qu'il faut entre deux et cinq ans pour devenir compétent dans une profession liée à la cybersécurité, ce qui crée un long délai pour le développement et la recherche de talents.

Heureusement, l'avenir n'est pas si sombre. Nous devons encore nous efforcer de remédier à la pénurie de main-d'œuvre, mais il est également impératif que les organisations adoptent des technologies susceptibles d'aider leurs équipes de cybersécurité existantes à travailler plus efficacement. Ces technologies peuvent contribuer grandement à résoudre les problèmes auxquels nous sommes confrontés aujourd'hui.

Keyfactor aide les entreprises (y compris celles dont les équipes manquent de ressources) à sécuriser chaque clé numérique et chaque certificat pour les entreprises multi-cloud, DevOps et la sécurité embarquée IoT . Cliquez ici pour en savoir plus sur ce que nous offronsCliquez ici pour en savoir plus sur ce que nous offrons, y compris sur la façon dont notre Cloud PKI-as-a-Service offre à chaque organisation l'accès à une équipe d'élite d'experts en cybersécurité.

Pour en savoir plus sur la façon dont une approche modernisée de PKI peut aider votre équipe de cybersécurité à devenir plus efficace, téléchargez notre nouvel ebook : Trois stratégies pour aider les responsables de la sécurité à faire face à la pénurie de main-d'œuvre dans le domaine de la cybersécurité.