Le plan de 20 milliards de dollars de Microsoft pour le gros problème de dépenses de la cybersécurité

Dans le sillage des piratages criminels de plus en plus sophistiqués d’entreprises comme SolarWinds, Colonial Pipeline et JBS Foods qui ont évoqué les craintes de faiblesses de la sécurité nationale, les politiciens américains jusqu’à la Maison Blanche ont été catégoriques sur une exigence de cybersécurité : les organisations devaient dépenser plus sur elle pour protéger la nation. Mais il y a un problème : dans de nombreux cas, l’augmentation des dépenses en cybersécurité ces dernières années n’a pas permis une meilleure protection contre les pirates.

Les entreprises publiques et privées affirment souvent que des cyberbudgets plus importants les ont rendues moins vulnérables aux attaques, une conclusion corroborée par plusieurs enquêtes, y compris celles menées par le Conseil exécutif de la technologie de CNBC, mais les experts en cybersécurité affirment que cela reflète souvent un faux sentiment de confiance, quelque chose qui s’apparente à une croyance magique que le simple fait de dépenser plus pour la technologie est la solution.

Maintenant, alors que la cybersécurité entame un nouveau cycle d’investissement en réponse à la récente vague d’attaques, y compris la décision de Microsoft de dépenser 20 milliards de dollars pour la cybersécurité au cours des cinq prochaines années – un quadruplement de ses dépenses précédentes – il y a un Catch-22 dans le fait que plus de dépenses n’a pas signifié une meilleure défense.

« C’est un gros problème », a déclaré Larry Ponemon, président et fondateur du groupe de réflexion sur la sécurité de l’information Ponemon Institute. « Nous voyons beaucoup d’organisations faire des investissements dans la technologie qui ne sont jamais déployés. »

La cyber pénurie de main-d’œuvre comme menace

Le PDG de FireEye Kevin Mandia, le PDG de SolarWinds Sudhakar Ramakrishna et le président de Microsoft Brad Smith (de gauche à droite) se parlent avant le début d’une audience du Comité sénatorial du renseignement à Capitol Hill le 23 février 2021 à Washington, DC. L’audience a porté sur la cyberattaque de 2020 qui a entraîné une série de violations de données au sein de plusieurs agences et départements du gouvernement fédéral américain.

a attiré la colère | Getty Images Actualités | Getty Images

« Je pense que nous avons une véritable pénurie », a déclaré Smith à CNBC. « De nombreuses entreprises n’ont pas les personnes dont elles ont besoin, non plus pour mettre en œuvre les protections pour lesquelles elles paient déjà, dans certains cas. »

Le manque de professionnels de la cybersécurité n’est pas un problème du secteur technologique, mais un problème important dans toutes les grandes industries. Après une récente réunion à la Maison Blanche, le secteur privé s’est engagé à fournir une formation professionnelle pour aider à combler un écart d’environ 500 000 emplois en cybersécurité aux États-Unis. À lui seul, Google s’est engagé à investir plus de 10 milliards de dollars sur cinq ans et à former 100 000 personnes.

« Nous voyons cela TOUT le temps chez nos clients », a écrit David Kennedy, fondateur et PDG de Trusted Sec, dans un e-mail. « Ces entreprises achèteront des produits, mais n’incluront pas de personnel direct pour le soutenir, sinon elles ne pourront pas obtenir l’approbation de financement interne pour le soutenir. Ainsi, les investissements en cybersécurité ne sont qu’à moitié installés ou pas du tout et languissent. valeur. »

Il a ajouté : « Sans les bonnes personnes en poste, vous ne serez jamais en sécurité, peu importe combien d’argent vous dépensez. mais c’est souvent ce que font les entreprises. »

Même au sein du Fortune 100, de nombreuses entreprises dépensent une tonne d’argent dans les nouvelles technologies de cybersécurité, mais n’ont pas les bonnes personnes pour les mettre en œuvre correctement, selon Chris Rouland, PDG de Phosphorus Cybersecurity et ancien CTO d’IBM Security. « De nombreuses entreprises reposent sur des solutions de sécurité qui pourraient les protéger contre les brèches, mais elles ne sont tout simplement pas en mesure de tout mettre en place et elles restent donc vulnérables. »

Microsoft se concentre sur les failles du gouvernement

Le problème est le plus important pour les petites entreprises et les gouvernements locaux, qui ont du mal à rivaliser sur les salaires, créant ce que Rouland a décrit comme « d’énormes pénuries de personnel ».

Une partie des nouvelles dépenses de cybersécurité de Microsoft se concentre sur ce problème dans le secteur public. Smith a déclaré à CNBC qu’il fournira 150 millions de dollars l’année prochaine en services d’ingénierie gratuits, « pour aider les gouvernements fédéral, étatiques et locaux à rattraper leur retard afin qu’ils puissent mettre en œuvre la protection de sécurité qui est déjà disponible dans certains cas, ils sont déjà acheté mais pas encore utilisé. »

Smith a noté dans un récent témoignage au Congrès que même au niveau du gouvernement fédéral, ce que Microsoft a découvert lors des examens des cyberprotocoles était « troublant » en ce qui concerne la déconnexion entre les cyber-investissements et le déploiement réussi. Même les meilleures pratiques de base en matière d’hygiène et de sécurité en matière de cybersécurité, telles que l’authentification multifacteur, n’étaient pas en place.

Investir davantage dans une équipe de cybersécurité reste un défi au sein de nombreuses organisations où les cycles de dépenses de cybersécurité et les budgets de dépenses d’effectifs sont souvent deux exercices distincts, selon Brennan P. Baybeck, ancien président du conseil d’administration et actuel directeur du conseil d’administration de l’association de gouvernance informatique ISACA, et vice-président et RSSI. pour le service client à Oracle.

À mesure que les piratages criminels deviennent plus sophistiqués, en particulier les ransomwares, le coût des embauches en matière de cybersécurité augmente encore plus. Cela a conduit les conseils d’administration à reconnaître que la cybersécurité n’est pas seulement un « problème technologique », et cela a créé une nouvelle demande pour des postes en cybersécurité, mais rend également encore plus difficile la concurrence pour un bassin de talents en cybersécurité beaucoup plus petit que les autres. domaines technologiques et augmente le risque de défection du personnel avant même que la technologie ne puisse être déployée, a-t-il déclaré.

cyano66 | iStock | Getty Images

Le récent de l’ISACA Enquête sur l’état de la cybersécurité 2021, qui a rassemblé les réponses de 3 600 professionnels de la sécurité de l’information dans le monde, a constaté que 61 % des personnes interrogées ont déclaré que leurs équipes de cybersécurité étaient en sous-effectif ; et 55% des personnes interrogées déclarent avoir des postes en cybersécurité non pourvus. Parmi les organisations ayant subi plus de cyberattaques au cours de l’année écoulée, 68% ont déclaré à l’ISACA qu’elles manquaient de personnel.

« Maintenant, ils se réveillent », a déclaré Baybeck. « Ils voient que vous pouvez acheter 50 produits de sécurité, mais si vous ne pouvez pas les déployer, cela n’aide pas. … L’aspect humain est comme l’investissement technologique. Il doit être maintenu en permanence et de nombreux programmes et organisations de sécurité ne n’y pensez pas. Mais nous essayons vraiment de changer cela. La pénurie de main-d’œuvre doit faire partie du plan. « 

Un écart de centaines de milliers de travailleurs ne sera pas rapidement comblé, mais les experts en cybersécurité disent qu’il existe une variété de solutions qui aideront dans les années à venir, et les sommes importantes dépensées par les plus grandes entreprises technologiques, dont Microsoft et Google, peuvent faire une différence.

« Les implications potentielles sont énormes, mais tous les mêmes problèmes pourraient se reproduire », a déclaré Ponemon, les équipes de cybersécurité continuant à prendre des décisions en silo au sein d’une organisation, ce qui entraîne une déconnexion entre les dépenses et la mise en œuvre efficace.

De nouvelles façons de recruter des talents technologiques

L’industrie de la cybersécurité pense différemment à la façon dont elle embauche. Dans le passé, de nombreuses entreprises limitaient leur recherche à des technologues qualifiés possédant des compétences spécifiques, mais Baybeck a déclaré que de nombreuses organisations se tournent désormais vers des communautés de développeurs et d’ingénieurs plus larges pour s’attaquer aux problèmes, tels qu’un mauvais code pouvant entraîner des vulnérabilités.

« Il est beaucoup plus facile d’embaucher 100 programmeurs que d’embaucher 100 professionnels de la cybersécurité. Vous ne pouvez tout simplement pas les trouver. Et quand vous le faites, ils coûtent beaucoup plus cher que les développeurs de logiciels », a déclaré Rouland.

En plus des programmes de certificat pour améliorer les compétences des travailleurs d’entreprises comme Google, les universités américaines intensifient leurs programmes d’études en cybersécurité et commencent à former de nombreux nouveaux professionnels.

« Au fil du temps, ils contribueront à combler le déficit d’embauche, mais en attendant, les entreprises vont devoir trouver comment recruter du personnel pour parer aux menaces actuelles », a déclaré Rouland.

On peut s’attendre à ce que les organisations de piratage criminel augmentent leur utilisation de l’IA et de l’automatisation dans les années à venir, accélérant les défis pour le cyber-personnel humain de suivre les menaces émergentes, mais ces technologies feront également partie de la solution au manque de compétences en matière de cybersécurité.

Baybeck a déclaré que l’automatisation rendra finalement la cybersécurité moins dépendante des humains, mais on ne sait pas encore à quel point une technologie à facteur de bascule comme l’IA sera. « Nous ne savons tout simplement pas à quel point nous aurons une fermeture », a-t-il déclaré.

L’équilibre entre la cybersécurité humaine et automatisée est déjà en train de changer. De nombreux centres d’opérations de sécurité étaient auparavant composés à 100 % d’humains sur quatre niveaux de réponse, mais il est désormais courant sur toutes les plates-formes d’avoir des solutions automatisées au moins pour les niveaux de menace les moins graves. « C’est tout un ensemble de ressources, des modèles 24h/24 et 7j/7, 50 personnes que vous auriez dû recruter auparavant et qui peuvent désormais faire d’autres choses », a déclaré Baybeck. « Cela enlève une grande partie de la main-d’œuvre à travers le monde. »

L’intérêt personnel est un autre facteur qui gardera les grandes technologies motivées.

« Les grandes entreprises technologiques feront beaucoup pour créer des normes universelles et elles pensent que si elles ne font rien, elles seront du mauvais côté du grand livre du gouvernement », a déclaré Ponemon.

Mais Ponemon s’inquiète de ce qui s’est passé au cours des cycles précédents d’investissement technologique, ce qu’il a appelé le facteur de chaos ou l’effet de saturation. Au tout début de l’adoption d’une nouvelle technologie, la motivation est élevée au sein d’une organisation, mais à mesure que le déploiement devient plus complexe, les organisations perdent confiance en elle et la technologie la plus récente peut devenir un « étagère à tiroirs ».

« Plus vous achetez et mettez en œuvre, plus vous êtes susceptible de trouver des failles dans la technologie et de devoir combler l’écart », a déclaré Ponemon. « Vous devez penser à tous les problèmes qui pourraient mal tourner, pas seulement à ce qui va bien. »

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.