L'occasion faisant généralement le larron*, il m'aura fallu un bon article sur National Defense pour réinvestir l'un des domaines qui m'a toujours plu du fait de sa position centrale et essentielle en security : le facteur humain et, particulièrement, le recrutement.
Sans vouloir jouer les rabat-joies ou défoncer à coup d'épaule une porte déjà ouverte (!), on notera tout de même le peu d'empressement mis par la majorité des entreprises à investir dans son capital humain (sensibilisation, formations, rappels, évaluations). Entreprises qui préfèrent, encore et toujours, investir dans de coûteuses technologies qui n'apportent plus/pas grand chose en terme de protections. Il suffit de voir combien ces dispositifs techniques sont contournés ces dernières semaines (Bercy, RSA, Epsilon pour ne citer qu'eux) et servent à d'audacieuses attaques, réussies de surcroît, pour envisager une approche un peu plus pragmatique.
Le dire n'est pas insulter la communauté security et l'ensemble de ses servants qui oeuvrent à faire leur boulot du mieux possible. J'ai d'ailleurs une pensée amicale envers certaines de mes connaissances, RSSI de leur état, et très souvent en position délicate entre leur connaissance approfondie de la menace et des risques (et de leur réalité) et des contraintes - budgétaires, financières voire politiques - imposées par leur direction.
Le dire n'est pas insulter la communauté security et l'ensemble de ses servants qui oeuvrent à faire leur boulot du mieux possible. J'ai d'ailleurs une pensée amicale envers certaines de mes connaissances, RSSI de leur état, et très souvent en position délicate entre leur connaissance approfondie de la menace et des risques (et de leur réalité) et des contraintes - budgétaires, financières voire politiques - imposées par leur direction.
Mais, revenons à nos moutons qui ne sont pas de Panurge, mais se cachent peut-être parmi eux ! Changement de paradigme et pragmatisme anglo-saxon quand il s'agit d'aller chercher les talents d'aujourd'hui dans la security. Le témoignage de Lynn Dugle, directrice de la division Systèmes d'Information et renseignement chez Raytheon (excusez du peu) mérite qu'on le cite, qu'on le lise, l'imprime et le transmette à qui vous semble allergique à cette approche !
Gourmand comme je suis et êtes sûrement aussi, on notera : les grands Groupes recherchent généralement leurs nouveaux talents dans les écoles prestigieuses (universités aux USA, ça mériterait un billet sur l'Education nationale en France mais ça n'est pas le sujet !). Mais ces lieux ne sont pas forcément les bons pour trouver les esprits les plus brillants quand il s'agit de la cybersécurité ! Preuve en est, sur les 3 premières campagnes de recrutement ciblées cybersécurité et effectuées par Raytheon, aucun des recrutés ne possède le baccalauréat ! L'un d'eux s'était même fait virer d'une grande école et mettait des gélules dans des boîtes pour une usine pharmaceutique le jour tandis qu'il survolait des compétitions de hacking la nuit !
Lynn Dugle conclut par ce coup de canon : "Nous recherchons les talents aux mauvais endroits !". Le reste de l'article est à lire car il insiste sur l'aspect désuet et de moins en moins attractif des entreprises d'aujourd'hui pour cette catégorie un peu particulière de (futurs ?) salariés : codes vestimentaires (implicites ou explicites), hiérarchiques, temporels ou de localisation.
On notera cependant que Cassidian, la division Défense et Sécurité d'EADS, a dernièrement utilisé une approche similaire en parrainant le CySec Challenge UK qui a permis de détecter des talents "atypiques" en security.
* Aucun lien direct avec la période de Pâques approchant ! :)
Aucun commentaire:
Enregistrer un commentaire