Les États-Unis ont besoin de toute urgence d’une académie virtuelle de cybersécurité pour former des cyberdéfenseurs à la sécurité nationale, selon l’Internet Security Alliance (ISA).
Il a noté dans une récente mise à jour de son rapport sur les cybermenaces de la Défense nationale que le gouvernement fédéral doit faire preuve de la détermination démontrée à la fin de la Seconde Guerre mondiale lorsque les États-Unis ont créé l’Académie de l’Air Force pour garantir que la nation dispose du personnel formé pour la défendre sur le nouveau théâtre d’opérations aériens.
« Aujourd’hui, les États-Unis sont confrontés à une lacune presque identique – cette fois en ce qui concerne le conflit numérique », a affirmé l’ISA. « Le pays, y compris tous les secteurs d’infrastructures critiques, est constamment soumis à des cyberattaques de la part d’États-nations bien financés, et nous manquons d’un nombre suffisant de personnel qualifié, nécessaire pour défendre les systèmes gouvernementaux et ceux du secteur privé. »
Il explique que malgré des investissements élevés dans la cybersécurité, le déficit de main-d’œuvre est écrasant, avec 500 000 à 750 000 postes vacants en cybersécurité dans tout le pays, dont 35 000 postes non pourvus au sein du gouvernement fédéral.
« Les États-Unis doivent réagir avec la même urgence qu’ils ont démontrée après la Seconde Guerre mondiale », affirme-t-il. « Bien qu’il existe certains programmes gouvernementaux visant à promouvoir la formation en cybersécurité en échange de services gouvernementaux, comme le ferait une académie virtuelle, ils sont beaucoup trop petits. Nous devons résoudre le problème à grande échelle. »
Cybersécurité gratuite pour l’Oncle Sam
L’ISA a présenté un plan selon lequel les diplômés de l’académie seraient payés à un niveau similaire à celui des diplômés de West Point et d’Annapolis pendant leur service gouvernemental requis.
Ces salaires sont bien inférieurs à ceux versés aux entrepreneurs indépendants pour effectuer ces travaux. La différence entre ce que le gouvernement paie aux diplômés des académies et ce qu’il paie aux entrepreneurs indépendants est si importante qu’elle couvrirait la totalité du coût de leur formation. Il s’agit essentiellement d’une cybersécurité gratuite pour le gouvernement fédéral, a expliqué l’ISA.
De plus, ajoute-t-il, une fois que les diplômés de l’académie auront terminé leur service gouvernemental, ils occuperont probablement des emplois en cybersécurité dans le secteur privé, où ils continueront à défendre notre nation contre les attaques des États-nations.
Le financement de l’académie pourrait provenir du Cyber PIVOTT Act, un projet de loi actuellement soumis au Congrès qui vise à former 10 000 cyber-recrues par an pour des postes gouvernementaux, a expliqué l’ISA.
« Chez Darktrace, nous constatons par nous-mêmes le besoin urgent d’une main-d’œuvre renforcée en matière de cybersécurité », a déclaré Marcus Fowler, PDG de Darktrace Federal, une société mondiale d’IA en matière de cybersécurité. Il existe un nombre considérable de postes vacants en matière de cybersécurité aux États-Unis, ce qui rend les entreprises et les agences gouvernementales vulnérables.
« La récente loi PIVOTT est une étape cruciale vers la réduction de cet écart en créant des parcours de développement de la main-d’œuvre plus intelligents, en élargissant l’accès à la formation pratique et en créant un vivier de talents en cybersécurité basé sur les compétences qui répondent aux exigences de l’économie d’aujourd’hui », a-t-il déclaré à TechNewsWorld.
Cependant, a ajouté Fowler, pour atteindre cet objectif, nous devrons également veiller à ce que les équipes de sécurité soient formées aux outils les plus avancés afin que la technologie puisse réaliser son potentiel pour augmenter la main d’œuvre et agir comme un véritable multiplicateur de force.
« Nous pensons qu’une politique fédérale plus intelligente en matière de cybersécurité, combinée à une plus grande adoption de technologies de cybersécurité basées sur l’IA, marque la meilleure voie à suivre pour répondre aux besoins de compétences et de capacités de l’Amérique et pour construire une cyberdéfense nationale plus résiliente », a-t-il déclaré.
Risques et lacunes de financement
David Kertai, assistant de recherche à l’Information Technology and Innovation Foundation, un groupe de réflexion scientifique et technologique basé à Washington, DC, a affirmé qu’il est clair que les gouvernements fédéral, étatiques et locaux des États-Unis ont besoin de davantage de professionnels de la cybersécurité pour se préparer et répondre au nombre croissant de cybermenaces et d’attaques.
Par exemple, a-t-il noté, le programme CyberCorps : Scholarship for Service offre des bourses en échange de services dans des postes fédéraux en matière de cybersécurité. « Bien que ce programme constitue un pas dans la bonne direction, il devrait être étendu », a-t-il déclaré à TechNewsWorld. Une académie virtuelle de cybersécurité pourrait compléter le programme CyberCorps en mettant en relation les individus avec des établissements d’enseignement existants pour obtenir leurs diplômes et entrer dans le monde de la cybersécurité.
Une académie virtuelle de cybersécurité pourrait être utile, mais seulement si elle évite les pièges qui ont rendu inefficaces d’autres programmes de formation fédéraux, a soutenu Morgan Peirce, assistant de recherche dans le programme de technologie et de sécurité nationale du Center for New American Security, un groupe de réflexion basé à Washington, DC et axé sur la sécurité nationale et la politique de défense des États-Unis.
« Les États-Unis gèrent déjà plusieurs programmes majeurs de cyberformation, notamment CyberCorps SFS, les centres d’excellence académique de la NSA et diverses initiatives d’agences – et ces programmes sont limités en ressources et structurellement fragmentés », a-t-elle déclaré à TechNewsWorld. Cette nouvelle académie virtuelle devrait combler des lacunes spécifiques manquant dans les programmes existants.
« L’ajout d’un nouveau programme, plutôt que l’expansion des programmes existants, pourrait fragmenter davantage le financement », a-t-elle déclaré. Même si l’élément virtuel augmente la commodité, il sera important de ne pas sacrifier la formation qui nécessite un élément en personne.
Académie hybride
Si une académie était créée, elle devrait repenser les approches pédagogiques actuelles en matière de sécurité de l’information. Le modèle traditionnel d’éducation à la cybersécurité ne peut pas s’adapter aux quelque 500 000 postes vacants rien qu’aux États-Unis, a affirmé Michael Bell, PDG de Suzu Testing, un fournisseur de services de cybersécurité basés sur l’IA, à Las Vegas.
« Une académie virtuelle supprime les barrières géographiques tout en permettant une formation pratique via des laboratoires virtuels et des exercices de simulation de menaces qui peuvent en réalité être plus efficaces que les cours traditionnels en classe », a-t-il déclaré à TechNewsWorld.
Le risque est que ces filières de formation deviennent des usines à certificats plutôt que de véritables établissements d’enseignement, de sorte que toute académie nationale doit avoir des normes rigoureuses, des exigences fondamentales du monde réel et une validation des employeurs pour garantir que les diplômés sont réellement qualifiés pour défendre les systèmes critiques, a-t-il déclaré.
Bell a imaginé l’académie combinant des cours asynchrones avec des laboratoires virtuels en direct, le mentorat de professionnels en exercice et des projets de synthèse du monde réel avec des partenaires gouvernementaux et du secteur privé.
Pensez à un modèle hybride, a-t-il observé, avec un programme de base couvrant la sécurité des réseaux, la réponse aux incidents, les renseignements sur les menaces et l’architecture sécurisée, associé à des pistes de spécialisation : sécurité offensive, sécurité du cloud, sécurité OT/ICS et sécurité de l’IA.
Il a absolument besoin de partenariats avec des employeurs qui s’engagent à embaucher des diplômés, créant ainsi un lien direct entre l’éducation et l’emploi, a-t-il ajouté. L’infrastructure de formation virtuelle existante de l’armée pourrait servir de base, même si elle devrait être considérablement améliorée, adaptée à un usage civil et intégrée aux programmes d’accréditation des collèges communautaires, comme ceux de la loi PIVOTT.
Limites des modèles de formation actuels
Toute académie devrait exiger une formation pratique dans de grands environnements d’entreprise simulés et des conseils de professionnels expérimentés qui instruiraient et exerceraient les stagiaires, a conseillé Ian Amit, fondateur et PDG de Gomboc, un fournisseur de solutions automatisées de sécurité des infrastructures cloud, à New York.
« Les éléments clés du travail d’un professionnel de la cybersécurité impliquent une coordination étroite avec les autres parties prenantes », a-t-il déclaré à TechNewsWorld. Il ne s’agit pas de maîtrise d’outils ou de langages spécifiques, mais plutôt d’expérience de travail sur des incidents et de coordination de réponses.
Cependant, Amit a fait valoir que nous n’avons pas besoin de davantage de travailleurs débutants dans le secteur de la cybersécurité. Il déborde déjà de personnes qui ont du mal à s’intégrer sur le marché du travail, d’autant plus que des outils plus avancés sont proposés pour aider à accomplir les tâches effectuées par les travailleurs débutants.
Cela semble être la vision du gouvernement sur la macroéconomie. Alors que les professionnels qualifiés sont rares, les initiatives proposant une formation virtuelle pour occuper des postes de débutant sont tout simplement peu judicieuses, a-t-il soutenu.
S’il est absolument vrai qu’il existe un déficit majeur de cyberprofessionnels et de main-d’œuvre, ce qui est problématique, compte tenu de l’escalade des cybertensions et des incursions d’adversaires parrainés ou soutenus indirectement par l’Iran, la Russie, la Corée du Nord et la Chine, la formation à elle seule ne peut pas résoudre le problème du déficit, a ajouté Jeff Le, directeur général de 100 Mile Strategies, une société de conseil en affaires gouvernementales et en technologies émergentes à Washington, DC.
Il faut un investissement concerté et un jumelage spécifique pour réduire la surabondance de certifications et mettre l’accent sur l’expertise basée sur les compétences et les modèles d’apprentissage, a-t-il déclaré à TechNewsWorld.
Avertissement de sécurité nationale
L’accent mis par l’ISA sur la cybersécurité nationale en tant que responsabilité partagée entre le public et le privé est parfait, a noté Rosario Mastrogiacomo, directeur de la stratégie chez Sphere Technology Solutions, une société de logiciels et de services de gouvernance des données, à Hoboken, dans le New Jersey.
« Mais les défis liés à la main-d’œuvre ne seront pas résolus uniquement par des politiques », a-t-il déclaré à TechNewsWorld. « Nous avons besoin d’une infrastructure évolutive et durable pour un apprentissage continu, d’un meilleur alignement entre la conformité et la réduction réelle des risques, ainsi que d’outils permettant aux équipes de sécurité de se concentrer sur la prévention et non sur la paperasse. »
« Le rapport de l’ISA est un signal d’alarme », a ajouté Ensar Seker, RSSI de SOCRadar, une société de renseignement sur les menaces, à Newark, dans le Del.. « Il recadre la cybersécurité non pas comme un centre de coûts ou un silo informatique mais comme un pilier de la force nationale », a-t-il déclaré à TechNewsWorld.
Nous avons besoin de réformes systémiques, certes, mais nous devons également humaniser le défi de la main-d’œuvre, a-t-il poursuivi. L’épuisement professionnel, la fragmentation et les pénuries de talents peuvent être résolus, mais seulement si nous traitons les cyberprofessionnels non seulement comme des défenseurs, mais comme des actifs stratégiques dans lesquels il vaut la peine d’investir.
