Eh bien, eh bien, eh bien. Regardez ce que le chat a ramené du cyberespace. Le secteur de la cybersécurité réussit un tour de magie qui rendrait Houdini fier : il gonfle simultanément les tarifs des consultants et inonde le marché de nouveaux venus aux yeux écarquillés. Un paradoxe enveloppé d'une énigme, servi avec une pointe d'ironie. On pourrait penser que cela serait un motif de célébration, mais ne vous inquiétez pas. Ce petit numéro de cirque pourrait bien nous préparer à une chute spectaculaire, rappelant le fiasco de l'externalisation qui empêche les vétérans de l'informatique de dormir la nuit. Alors, levons le voile sur ce drame numérique et voyons si nous pouvons repérer le tour de passe-passe avant qu'il ne soit trop tard. La communauté de la cybersécurité était autrefois fière de son sens de la camaraderie et de son objectif commun. Cependant, cet esprit a été érodé par une course vers le bas en termes de prix et de valeur perçue. En offrant des formations et des services gratuits ou extrêmement bon marché, le secteur envoie par inadvertance le message que ces compétences et ces efforts ont peu de valeur intrinsèque.
La dévalorisation de l’expertise en cybersécurité est encore exacerbée par la montée de la « culture d’influence » au sein du secteur. Ces dernières années, de plus en plus de personnes se sont attachées à construire leur marque personnelle et à devenir des influenceurs dans le domaine de la cybersécurité. Si certaines de ces voix apportent des informations précieuses, le secteur est devenu saturé de personnes désireuses de partager leurs réflexions, quelle que soit leur expertise ou leur expérience réelle.
Cette prolifération d’experts autoproclamés a donné lieu à une énorme quantité de bruit dans le paysage de l’information en matière de cybersécurité (voir l’article d’ Alyssa Miller sur « Infosec Rockstars vs Influencers ») . Les plateformes de médias sociaux et les forums en ligne regorgent de conseils, d’astuces et de « formations » de qualité variable. Malheureusement, la quantité étouffe souvent la qualité, ce qui rend difficile pour les apprenants de distinguer les informations utiles des simples spéculations ou des explications trop simplifiées.
L'abondance de contenus gratuits ou peu coûteux crée une fausse impression selon laquelle une formation de qualité en cybersécurité devrait être facilement accessible et peu coûteuse. Par conséquent, les prestataires de formation réputés comme SANS Institute , CISA (Cybersecurity and Infrastructure Security Agency) et Cybrary , qui proposent des cours complets, vérifiés et actualisés, sont souvent perçus comme excessivement chers.
En réalité, le développement et le maintien d’une formation en cybersécurité de qualité et à jour nécessitent des ressources et une expertise importantes. Cependant, de nombreux aspirants professionnels de la cybersécurité, confrontés à des frais de formation s’élevant à des milliers de dollars, optent pour des alternatives plus abordables ou gratuites. Ce choix, bien que compréhensible d’un point de vue financier, entraîne souvent des lacunes en matière de connaissances et de compétences qui peuvent avoir de graves conséquences dans des scénarios de cybersécurité réels.
Cette tendance crée un cercle vicieux. Alors que de plus en plus de personnes se tournent vers des ressources gratuites ou bon marché, le soutien financier pour des programmes de formation de qualité diminue. Cela pourrait potentiellement conduire à une baisse de la qualité globale de l'enseignement en cybersécurité, au moment même où le besoin de professionnels qualifiés est à son plus haut.
De plus, l’accent mis sur le branding personnel et le statut d’influenceur peut détourner l’attention de la mission principale de la cybersécurité : protéger les systèmes, les données et les personnes. Lorsque l’objectif devient de rassembler des adeptes plutôt que de développer une expertise approfondie, c’est l’ensemble du secteur qui en souffre.
Cette situation fait étrangement écho à une célèbre citation de la série Battlestar Galactica réinventée : « Tout cela s'est déjà produit auparavant. Tout cela se reproduira. » En effet, nous avons vu des schémas similaires se reproduire dans d'autres secteurs technologiques, notamment lors de l'essor de l'externalisation au début des années 2000.
Durant cette période, de nombreuses entreprises américaines se sont précipitées pour sous-traiter le développement de leurs logiciels dans des pays comme l’Inde, attirées par des coûts de main-d’œuvre nettement inférieurs. Si cette stratégie semblait économiquement judicieuse à court terme, elle a eu des conséquences considérables pour l’industrie technologique américaine. Pour plus de détails, lisez cet article de recherche « Impact of Offshore Outsourcing of IT Services on the US Economy » de Kalyan Chakraborty et William Remington :
Délocalisation des emplois : un nombre considérable d’emplois dans le secteur des services aux États-Unis, notamment dans le secteur informatique, ont été délocalisés à l’étranger. En 2015, on estimait que 3,4 millions d’emplois dans ce secteur seraient délocalisés aux États-Unis. Cette évolution a été motivée par les économies de coûts liées à l’externalisation, qui ont permis aux entreprises de réduire les prix des logiciels et des services, d’augmenter la productivité et d’investir dans de nouvelles technologies et idées commerciales.
En délocalisant les postes de débutants, les entreprises américaines ont créé par inadvertance un vide dans leur vivier de talents nationaux. Les jeunes diplômés ont de plus en plus de mal à acquérir l’expérience nécessaire pour progresser dans leur carrière. Quinze ans plus tard, les États-Unis sont aujourd’hui confrontés à une pénurie de développeurs seniors et de responsables techniques expérimentés, des professionnels qui auraient fait leurs armes dans ces emplois de débutants il y a une décennie et demie.
Paradoxalement, la tendance à l’externalisation se retourne aujourd’hui contre les premiers pays à adopter cette pratique, comme l’Inde. Alors que les entreprises cherchent des sources de main-d’œuvre toujours moins chères ou se tournent vers l’automatisation, les travailleurs indiens du secteur technologique se retrouvent confrontés aux mêmes défis que leurs homologues américains il y a quelques années.
Les parallèles avec la situation actuelle en matière de cybersécurité sont clairs et inquiétants. En sous-estimant l’aspect humain de la cybersécurité – que ce soit par le biais de formations gratuites, de tarifs de services dérisoires ou d’une dépendance excessive à l’IA – nous risquons de créer un déficit de talents similaire dans ce domaine essentiel.
Le secteur de la cybersécurité doit tirer les leçons de l’histoire. Si l’innovation et la rentabilité sont importantes, elles ne doivent pas se faire au détriment du développement des talents et de l’expertise humaine. La nature complexe et en constante évolution des cybermenaces exige une main-d’œuvre non seulement qualifiée, mais également en constante évolution et adaptation.
À l’heure où nous avançons, il est essentiel de trouver un équilibre entre l’exploitation des nouvelles technologies et la valorisation de l’expertise humaine. Ce n’est qu’en reconnaissant et en rémunérant de manière appropriée les compétences et les efforts des professionnels de la cybersécurité que nous pourrons garantir une défense solide et efficace contre les futures menaces numériques.
La nature cyclique de ces tendances sectorielles nous rappelle que les gains à court terme conduisent souvent à des défis à long terme. Alors que nous naviguons vers l’avenir de la cybersécurité, efforçons-nous de briser ce cycle et de construire un modèle durable qui valorise à la fois l’innovation et l’expertise humaine.
Le secteur de la cybersécurité est confronté à un défi majeur : la dévalorisation de l'expertise et des services, alimentée par des formations gratuites mais souvent de qualité inférieure et un paysage informationnel sursaturé. Cette tendance, qui rappelle les erreurs passées d'externalisation, menace de compromettre l'efficacité du secteur face aux menaces numériques en constante évolution. Pour préserver l'avenir de la cybersécurité, les acteurs doivent :
Recognize the true value of expert knowledge and quality training
Critically evaluate information sources and invest in reputable education
Prioritize building a skilled workforce over personal brand promotion
En abordant ces questions clés, l’industrie peut maintenir son intégrité, améliorer son vivier de talents et renforcer sa capacité à protéger notre infrastructure numérique dans un paysage de menaces de plus en plus complexe.
Je voudrais souligner le débat en cours entre les fondateurs de ThreatGEN et moi-même sur la manière dont les formations gratuites et les services à bas prix détruisent la cybersécurité. Clint Bodungen , Aaron Shbeeb et Matthew Anderson en ont fait l'expérience directe. Jeff Whitney et Gary Leibowitz , membres du conseil d'administration, contribuent à combattre cette « mentalité gratuite » qui prévaut.
Je voudrais également remercier mon meilleur ami Patrick Anderson qui vit cette situation sous un autre angle : le processus d'externalisation informatique et sa mise en œuvre. Patrick, Eddie Tipton et moi-même étions associés chez Systems Evolution Incorporated entre 1999 et 2003, et nous avons participé à des opérations d'externalisation onshore avec des sociétés comme EDS, Accenture et d'autres grandes sociétés de conseil. Plus tard dans l'évolution de Systems Evolution (à l'époque, une société cotée en bourse), nous avons acquis Duration Software, qui était le plus grand développeur de logiciels personnalisés de l'État du Texas. Chris Montgomery , Rich Steinle , Frank Prevatt et Scott Friesen , entre autres, comprennent les dernières étapes de l'externalisation, car nous étions en concurrence avec la vague offshore.
Enfin, je révèle que j'ai utilisé Claude d'Anthropic pour peaufiner mes pensées ainsi que le moteur de recherche de Perplexity pour les références qui soulignent mes pensées.
Voici un lien vers l'article original sur LinkedIn.