Le conférencier et chercheur en cybersécurité de l’UCD, Jan Carroll, explique comment la cybersécurité est désormais le problème de tout le monde, et pas seulement un problème du service informatique.
La cybersécurité a été beaucoup plus à l’honneur l’année dernière et c’est en grande partie à cause de la pandémie de Covid-19.
Un changement soudain dans la façon dont nous travaillons et apprenons signifie qu’une grande partie de la main-d’œuvre mondiale est passée au cloud computing, aux bureaux à distance et à un système décentralisé.
Mais ce mouvement soudain a causé des problèmes majeurs aux professionnels de la sécurité alors qu’ils tentaient de sécuriser la nouvelle main-d’œuvre distante et de protéger les données qui s’étaient soudainement propagées au loin.
Dès le début de la pandémie, il était clair que les cybercriminels profitaient de Covid-19 avec des e-mails prédateurs et des messages de spam. L’Organisation mondiale de la santé a constaté un doublement des cyberattaques et, en août 2020, Interpol a signalé que les attaques augmentaient à un rythme «alarmant».
Mais ce n’est que cette année que la gravité de ces attaques s’est vraiment manifestée avec plusieurs attaques majeures, dont une grave attaque de ransomware contre le Health Service Executive (HSE) d’Irlande.
Alors que de nombreux systèmes du HSE sont maintenant de nouveau opérationnels, les effets se font toujours sentir et les coûts considérables n’ont pas encore été calculés.
Cependant, le chercheur en cybersécurité Jan Carroll a déclaré qu’il y avait une lueur d’espoir dans les récentes attaques.
« La cybersécurité et la sécurité de l’information sont désormais l’affaire de tous »
– JAN CARROLL
« L’un des résultats positifs de l’attaque HSE est qu’elle a amené tout le monde à prendre la cybersécurité au sérieux », a-t-elle déclaré. « Nous devrions voir cela comme une opportunité de profiter de l’attention de tous et de lancer une campagne nationale de sensibilisation à la cybersécurité. »
Elle a déclaré que même en dehors de l’attaque HSE, d’autres développements à la fois dans l’industrie elle-même et dans les médias ont conduit à une prise de conscience accrue de l’importance de la cybersécurité.
« La cybersécurité et la sécurité de l’information sont désormais le problème de tout le monde, pas seulement du service informatique », a-t-elle déclaré. « La mise en œuvre du RGPD et les violations de données très médiatisées de Facebook nous ont tous fait prendre conscience de la manière dont nos informations personnelles sont stockées et utilisées par différentes plateformes. »
Faire face à la pénurie de compétences
Carroll travaille également en tant que conférencière en cybersécurité à l’UCD Professional Academy et, à ce titre, est extrêmement passionnée par l’idée de combler le fossé des cyber-compétences en attirant davantage de femmes et de groupes sous-représentés dans l’industrie.
Un rapport récent de Cyber Ireland a révélé que 46 % des équipes de sécurité des entreprises sont en sous-effectif et près de la moitié (48 %) des entreprises ont des rôles de cybersécurité ouverts ou non pourvus.
Carroll a déclaré que bien que la pénurie de compétences soit un problème mondial, il est bon qu’elle ait été identifiée et que des mesures soient prises pour y remédier.
« Des organisations telles que Cyber Ireland travaillent avec des organismes nationaux, l’industrie et des prestataires de formation, y compris UCD, pour établir une feuille de route pour la prestation d’un apprentissage de qualité répondant aux besoins de l’industrie et des travailleurs », a-t-elle déclaré.
Ce besoin au sein de l’industrie, combiné à une sensibilisation accrue aux problèmes de cybersécurité, a créé une demande de cours sur la cybersécurité.
Le mois dernier, IT Sligo a lancé un nouveau cours axé sur l’infrastructure qui alimente le mouvement des données sur Internet avec une sécurité intégrée dans ses modules. Et début juin, un nouveau projet de 8 millions d’euros dirigé par l’Université technologique de Munster a été annoncé pour combler le déficit de cybercompétences.
L’UCD Professional Academy, où Carroll enseigne, propose également des diplômes professionnels en cybersécurité et en piratage éthique, tous deux s’inscrivant pour juillet.
« Une partie de mes recherches consiste à attirer plus de « retours » vers la cybersécurité, en particulier les femmes qui ont des compétences transférables. Les compétences techniques peuvent être enseignées plus facilement que les soi-disant « compétences générales » de l’analyse critique, de la communication, de la rédaction de rapports, etc. »
Cependant, elle a déclaré qu’il y avait toujours un problème dans l’industrie de l’infosec en ce qui concerne la diversité, avec un rapport (ISC)² estimant que les femmes ne représentent que 24 % de la main-d’œuvre en cybersécurité.
Bien qu’il s’agisse d’une augmentation marquée par rapport à l’estimation précédente de 11 pc, Carroll a déclaré qu’il restait encore du travail à faire.
« Il y a aussi des problèmes de rétention et de manque d’inclusion dans les équipes de direction. D’autres groupes sont également sous-représentés, et c’est un problème qui doit être traité le plus tôt possible », a-t-elle déclaré.
« Le problème de la diversité est le problème de tout le monde. Une main-d’œuvre diversifiée est une main-d’œuvre plus sûre, car nous apportons tous nos propres expériences et cadres de référence à la table. »
Un impact plus large sur la société
L’attaque HSE était sans doute l’une des plus grandes cyberattaques à avoir eu lieu en Irlande, dont les répercussions, selon Carroll, se feront sentir pendant des années.
«Une fois que le groupe criminel Conti a jeté son dévolu sur le HSE, ils allaient persister et s’immiscer d’une manière ou d’une autre. Ces groupes ont la persévérance, les compétences et les ressources nécessaires pour pénétrer à peu près toutes les défenses », a-t-elle déclaré.
« Il ne suffit pas de faire une formation de sensibilisation une fois par an pour cocher une case »
– JAN CARROLL
« Les entreprises doivent tirer les leçons de l’attaque en s’assurant qu’elles ont mis en place des processus appropriés de continuité des activités et de reprise après sinistre pour minimiser quand, et non si, elles sont touchées par une attaque. »
Elle a également dit qu’elle voulait corriger l’idée fausse selon laquelle « les pirates informatiques sont de jeunes garçons en sweat à capuche assis dans leur chambre, ils ne le sont pas ».
« Ces groupes criminels sont similaires aux grandes entreprises internationales et leur produit est le ‘hacking-as-a-service’. Ils sont bien gérés et structurés, souvent soutenus par l’État et ils ne vont pas disparaître de sitôt.
Elle a déclaré que la majorité des violations se résument à l’élément humain et que les meilleures formes de défense sont d’avoir une main-d’œuvre consciente de la sécurité.
« Il ne suffit pas de faire une formation de sensibilisation une fois par an pour cocher une case. La sécurité est la responsabilité de tous », a-t-elle déclaré.
«Même si nous suivons tous les meilleurs protocoles pour protéger nos propres données, nous sommes toujours vulnérables car nous confions nos données à d’autres parties qui ne parviennent pas à les protéger. Nous devons être constamment vigilants car aucune défense n’est parfaite.
Vous voulez des histoires comme celle-ci et plus directement dans votre boîte de réception ? S’inscrire pour Tendances technologiques, le condensé hebdomadaire de Silicon Republic des nouvelles technologiques indispensables.