Combler le manque de talents en cybersécurité nécessite de nouvelles approches

La Stratégie nationale de cybersécurité a le potentiel de transformer notre capacité à combattre et à prévenir les cyberattaques dans les secteurs public et privé.

Au moins à court terme, cependant, cela souligne un défi fondamental pour les petites et grandes organisations, à travers le gouvernement et l’industrie : l’écart de la taille d’un cratère entre le nombre d’emplois en cybersécurité et le nombre de personnes pour les combler.

Bien que les intégrateurs de systèmes fédéraux puissent embaucher plus rapidement et paient souvent plus que le secteur public, le gouvernement et l’industrie ont du mal à pourvoir les emplois dans le cyberespace.

Selon Cyberseek, un projet soutenu par le National Institute of Standards and Technology, plus de 755 000 emplois en cybersécurité sont actuellement ouverts aux États-Unis : environ 710 000 dans le secteur privé et 45 000 dans le secteur public.

De nombreux FSI, bien sûr, aident les agences fédérales à renforcer leur cybersécurité, grâce à des solutions technologiques, des implémentations et des intégrations, du personnel, ou tout cela. Les agences fédérales dépendent de partenaires du secteur privé pour comprendre les cyber-solutions qui pourraient relever les défis spécifiques des agences et pour les aider à les mettre en œuvre.

Cela signifie également comprendre les exigences fédérales et la meilleure façon de les intégrer dans la conception d’un projet ou de les intégrer dans l’intégration.

Cela dit, les sous-traitants ne comprennent pas toujours les normes de cybersécurité requises et encore moins les mettent en œuvre dans leur propre environnement, ce qui pourrait accroître l’exposition potentielle des agences aux cybermenaces et, par extension, augmenter la charge du personnel de cybersécurité déjà surchargé.

Par exemple, les sous-traitants de la défense travaillant avec des informations non classifiées contrôlées par le gouvernement fédéral ont été tenus de mettre en œuvre les 110 pratiques de sécurité décrites dans la publication spéciale 800-171 du NIST pendant plusieurs années, mais les agents contractants ne l’ont pas appliquée.

Cela est sur le point de changer lorsque 110 contrôles et pratiques de sécurité (pour plus de 17 contrôles pour le niveau 1) deviendront les exigences essentielles de la règle de certification du modèle de maturité de la cybersécurité 2.0 du ministère de la Défense ce printemps. C’est une bonne et nécessaire étape.

Les entrepreneurs fédéraux doivent respecter les mêmes normes qui s’appliquent aux clients de leur agence, que cela soit requis par la loi ou non. Répondre aux exigences des normes NIST SP 800-53 et SP 800-171, par exemple, devrait être une tâche simple.

Les sous-traitants doivent avoir une connaissance approfondie des exigences en matière de cybersécurité qu’ils aident les agences à remplir. Acquérir ces connaissances avant de conclure un engagement de sous-traitance positionnera l’ISF non seulement pour remporter le contrat, mais aussi pour l’exécuter plus efficacement pour l’agence. Une plus grande efficacité réduit la pression sur le personnel cybernétique de l’agence.

La stratégie nationale de cybersécurité appelle à un partenariat public-privé accru sur de nombreux fronts. Il reconnaît que combler le manque de talents en cybersécurité nécessitera un leadership fédéral et un partenariat durable entre les secteurs public et privé. Les initiatives de recrutement, de rétention et de formation dans les deux secteurs sont un début.

Mais le manque de talents est si vaste et le paysage des cybermenaces est si vaste et si perfide que les gens seuls ne sont pas la réponse et ils ne sont certainement pas une solution à court terme pour combler les lacunes urgentes en matière de cybersécurité.

Les services de sécurité gérés, associés à des solutions de cybersécurité fournies dans le cloud qui tirent parti de l’intelligence artificielle et de l’apprentissage automatique, constituent une solution plus réaliste pour combler le manque de talents en cybersécurité. Certains estiment que jusqu’à 90 % des cyberdonnées ne sont jamais analysées.

Les humains ne peuvent tout simplement pas suivre le rythme des volumes de données en plein essor. Mais l’IA et le ML le peuvent. L’utilisation de solutions de cybersécurité fournies par le cloud simplifie la gestion et la maintenance de l’infrastructure de sécurité sur site.

Les modèles alimentés par l’IA peuvent identifier les caractéristiques et le comportement contextuel des actions adverses et les bloquer même les attaques qui n’ont jamais été vues auparavant. ML garantit que les modèles sont continuellement mis à jour, améliorant les protections en temps réel lorsque de nouvelles menaces sont détectées.

Les services gérés sont également un outil essentiel pour les FSI dans leur soutien aux clients des agences. Les opérations autonomes, dans le secteur public ou le secteur privé, ne sont tout simplement pas durables dans l’environnement d’aujourd’hui.

Les services de sécurité gérés fournissent des solutions de cybersécurité intégrées et holistiques, des économies de coûts, une évolutivité, une surveillance 24 heures sur 24 et déchargent les tâches de routine afin que le personnel de sécurité puisse se concentrer sur la gouvernance de la sécurité.

La valeur des services de sécurité gérés pour les FSI et leurs agences clientes s’apparente à la valeur des services cloud par rapport aux centres de données sur site. Passer aux services gérés est une autre évidence, tout simplement.

Ensemble, l’industrie et le gouvernement peuvent combler le manque de talents en cybersécurité de la taille d’un cratère. Cela nécessitera des efforts soutenus sur de nombreux fronts.

La première ligne, pour les résultats les plus immédiats et durables, devrait être Zero Trust, soutenu par des solutions de sécurité fournies par le cloud qui tirent parti de l’IA et du ML, associées à des services de sécurité gérés et au respect généralisé des normes de sécurité gouvernementales.

Si nous faisons ces choses maintenant, nous verrons des progrès exponentiellement plus rapides qu’aujourd’hui.

Danny Connelly est responsable de la sécurité de l’information pour les Amériques et le secteur public chez Zscaler. Il était auparavant directeur adjoint de l’information et chef de la branche des opérations des Centers for Disease Control and Prevention. Au cours de son mandat de 11 ans au CDC, Connelly était responsable de la mise en œuvre des capacités opérationnelles pour soutenir les fonctions de réponse aux incidents, de criminalistique, de renseignement sur les cybermenaces et de menaces internes.