À quoi pourrait bien ressembler la cybersécurité à l’horizon 2030 ? L’essor de l’intelligence artificielle va-t-il modifier en profondeur ce secteur ? Comment s’adaptera-t-il ? Aux côtés de spécialistes de Onepoint, explorons le futur de la cybersécurité à travers 5 métiers en devenir.
Banales comme un phishing ou sophistiquée telle une arnaque au président, les méthodes de piratage informatique continuent de faire des dégâts au sein des entreprises françaises. Et si l’on se penche sur la volumétrie, la tendance semble à la hausse. Dans son dernier Panorama des cybermenaces, l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) constate par exemple une augmentation de 30% des attaques de rançongiciel en 2023 par rapport à 2022. Une enquête menée par OpinionWay auprès du CESIN révèle que le nombre de cyberattaques réussies auprès des entreprises françaises s'élevait à 49% l’année dernière - un chiffre en très légère hausse. Au-delà de ces chiffres, une gouvernance claire en matière de cybersécurité est désormais essentielle pour se conformer aux lois. Dernière en date : DORA, un règlement européen destiné aux entités financières.
En un mot, la cybersécurité est partout - et c’est parti pour durer. L’évolution de l’IA entraîne d’ores et déjà un changement de profil des cyberattaques et cyberdéfenses, qui utilisent de chaque côté les opportunités des algorithmes. Les métiers de la cybersécurité ne cessent d’évoluer pour répondre aux besoins - techniques, réglementaires, éthiques - de la société. A quoi ressembleront-ils en 2030 ?
Deux experts Onepoint ont passé au crible cinq hypothèses dressées par L’ADN sur le futur de la profession : Olivier Herisson, expert cybersécurité au pôle GRC (gouvernance, risque et conformité) et Vincent Rémon, spécialiste de la cybertech et hacker éthique. Rencontre et perspectives.
Métier #1 : Expert en Intelligence Artificielle Défensive
L’IA, notamment générative, peut être instigatrice de nouvelles formes d’attaques malveillantes, comme les deep fakes ou les attaques de hameçonnage. Ces derniers, qui comptent parmi les attaques les plus courantes, sont déjà améliorés grâce aux technologies d’IA qui permettent de façonner de fausses informations plus crédibles et plus rapidement. Mais les spécialistes de la cybersécurité peuvent-ils s’emparer de cette technologie pour détecter et contrer les cybermenaces ? L’expert en IA Défensive sera ainsi capable d’utiliser le machine learning et le deep learning pour lutter contre des attaques, réaliser des tests d’adversité sur des systèmes d’intelligence artificielle et aura dans sa poche un panel de connaissances en protection de la vie privée et en utilisation de l’IA à des fins offensives.
La réponse des experts :
Vincent Rémon : Le milieu de la cybersécurité utilise déjà l’IA à des fins de protection, notamment avec des outils de cyber reconnaissance pour lutter contre la fraude. On peut également citer le passwordless, une technologie en devenir, qui grâce au machine learning devient un moyen de ne plus utiliser les mots de passe, qui représentent souvent un maillon faible dans la chaîne d’authentification des utilisateurs. L’IA permet aussi d’aider à la prise de décision, à prioriser des éléments critiques lors d’une situation de crise. Ce sont des choses qui existent depuis un moment et continuent d’évoluer.
Olivier Herisson : Il y a en effet une émergence de nouvelles menaces, comme les deep fakes, ou d’attaques informatiques construites avec de l’IA. Nos experts en cybersécurité se forment sur ces sujets et on nous demande d’utiliser ces techniques utilisées par les hackers pour s’en servir à des fins défensives. Nous sommes obligés d’être à la page sur ce sujet. La formation d’experts en cybersécurité sur l’IA est nouvelle et faite, à l’heure actuelle, de manière autodidacte. C’est l’évolution naturelle de notre métier, on va devenir expert en IA dans les prochaines années.
Taux de probabilité : Extrêmement fort. L’intelligence artificielle va prendre une place importante dans l’univers de la cybersécurité.
Métier #2 : Spécialiste en cyber-résilience des infrastructures-critiques
Avec la digitalisation croissante des infrastructures critiques (énergie, eau, transport, etc.), le spécialiste en cyber-résilience sera crucial pour assurer la continuité des opérations face aux cyberattaques. Il devra développer et mettre en œuvre des stratégies pour détecter, répondre et permettre aux entreprises de se remettre rapidement de ces attaques. Il aura donc une connaissance approfondie des systèmes de contrôle industriel (ICS) et des systèmes de contrôle et d'acquisition de données (SCADA), mais aussi des compétences en planification de la continuité des opérations et de la reprise après sinistre.
La réponse des experts :
Olivier Herisson : En réalité, nous sommes déjà spécialistes en résilience. En GRC, la résilience fait partie de la palette de nos compétences et certains vont se spécialiser dedans. (...) La résilience est essentielle pour les entreprises du CAC 40, qui n’ont pas le choix. Il y a trop de risques et de réglementations qu’il faut suivre. Par ailleurs, il faut ajouter que la situation est différente en ce qui concerne les entreprises de taille moyenne. En effet, ces entreprises ne sont pas résilientes du tout et je ne compte plus le nombre qui se font attaquer. Il faut absolument s’occuper de ces entreprises et aller les chercher sur ce sujet, car il y a encore un manque d’acculturation et de moyens trop importants.
Taux de probabilité : Peu probable - parce que c’est déjà le métier des consultants en cybersécurité.
Métier #3 : Éthicien de la cybersécurité
La cybersécurité, c’est un ensemble de technologies et de réglementations, mais c’est aussi de nombreuses questions éthiques ! Avec l'intégration de la cybersécurité dans tous les aspects de la vie quotidienne et professionnelle, la place de l’éthique deviendra primordiale. De par leur fonction, les spécialistes de la cybersécurité auront accès à des informations de plus en plus sensibles sur les entreprises et particuliers.
Le rôle de l’éthicien en cybersécurité sera donc de s’assurer du bon usage moral de ces informations, notamment grâce à une connaissance accrue des principes éthiques appliqués à la technologie, des réglementations en vigueur mais aussi une capacité personnelle à évaluer l’impact social des technologies en cybersécurité.
La réponse des experts :
Vincent Rémon : Je suis hacker éthique - c’est même écrit sur mon CV. Lorsque j’ai commencé, c’était compliqué, on ne se montrait pas, parce que l’on voyait nos collègues signaler des vulnérabilités et prendre un retour de bâton. Les choses ont évolué, avec la création de plateformes de divulgation et de protection des lanceurs d’alertes qui permettent d’alerter les entreprises en gardant son anonymat et, plus globalement, une reconnaissance du marché vis à vis du hacking, qui a perdu sa connotation péjorative auprès du grand public. Être hacker éthique, c’est un engagement moral et légal qui est explicite et doit rassurer les gens qui font appel à nous. Aujourd’hui, la grande tendance est au bug bounty : il s’agit de demander à des chercheurs en cybersécurité de tester les vulnérabilités contre rémunération en primes. Quand on travaille avec des entreprises spécialisées dans le bug bounty, ils se portent garant de l’éthique. Cela fait donc partie de leur mandat, mais c’est plus une composante de leur offre qu’un réel métier. Difficile de dire si cela deviendra un métier à part entière.
Taux de probabilité : Probabilité moyenne, voire faible, que l’éthicien en cybersécurité devienne un métier à part entière, mais l’aspect éthique de la cybersécurité va jouer un rôle de plus en plus grand.
Métier #4 : Ingénieur en cyberdéfense biométrique
Avec l'augmentation de l'utilisation des systèmes biométriques pour l'authentification informatique (empreintes digitales ou reconnaissance faciale, par exemple), le spécialiste en cyber-défense biométrique se concentrera sur la sécurisation de ces systèmes contre les falsifications et les vols d'identité. Il aura une connaissance accrue des vulnérabilités spécifiques aux systèmes biométriques et des compétences en développement de solutions de sécurité pour la biométrie.
La réponse des experts :
Vincent Remon : La biométrie, ça n’est ni plus ni moins qu’un mot de passe, c’est un facteur d’authentification parmi d’autres, c’est plus lié à l’identité qu’à la cybersécurité. J’aurais même tendance à dire que l’authentification biométrique peut disparaître à terme, mais c’est une conviction personnelle. Je parlais du passwordless : l’IA et le machine learning vont permettre de donner assez d’informations sur l’utilisateur - sa manière de taper au clavier, les composants bluetooth à proximité, etc - pour non pas supprimer le biométrique, mais en faire un simple facteur d’identification et d’authentification parmi d’autres.
Olivier Herisson : Non, ça ne deviendra pas un métier de la cyber. Il y a des spécialistes, mais ce n’est pas notre métier. En revanche, on travaille avec eux, notamment pour leur demander de protéger les données qu’ils utilisent. Notre rôle va être de garantir que les coffres forts qui conservent ces données biométriques soient sécurisés.
Taux de probabilité : 0.
Métier #5 : Conseiller en cybersécurité réglementaire
Les réglementations en matière de cybersécurité et de protection des données ne cessent d’augmenter, au niveau national comme européen. Cette connaissance des textes de lois et du cadre de leur application ne sera plus simplement un outil dans la palette du consultant, mais une spécialité à part entière qui lui permettra d’auditer et de conseiller les entreprises sur ces enjeux cruciaux. Le conseiller en cybersécurité réglementaire aura donc une maîtrise approfondie des lois et réglementation (RGPD, DORA, NIS, etc), des compétences juridiques appliquées à la cybersécurité et des capacités de conseil et de gestion de conformité.
La réponse des experts :
Olivier Herisson : Cela représente déjà presque 50% de nos activités aujourd’hui. C’est un vrai sujet, avec des RSSI (Responsable Sécurité des Systèmes d’Informations) qui, d’ailleurs et dans les grands groupes, se plaignent des sujets réglementaires qui prennent de plus en plus de place au détriment de l’opérationnel.
Vincent Remon : Je pense que c’est bien qu’il s’agisse d’un métier de consultant, car cela permet de ne pas être juge et partie. Les grands groupes possèdent des pôles, comme l’Inspection Générale, qui vont auditer tout ce qui concerne le règlementaire. Mais ces sujets sont vastes et complexes pour les non-initiés, avec des agendas souvent intenables, c’est pour cela que le rôle des consultants en matière de règlementaire est une bonne chose. Cela apporte du recul aux entreprises.
Taux de probabilité : Fort, l’aspect règlementaire étant déjà une composante essentielle des métiers de la cybersécurité.
Participer à la conversation