Un piratage de la plateforme Canvas au début du mois a provoqué le report de leurs examens finaux et le retard de leurs notes chez des milliers d’étudiants. Un groupe appelé ShinyHunters a revendiqué la responsabilité de la violation chez Instructor, une entreprise qui développe des systèmes de gestion de l’apprentissage utilisés par environ 40 % des universités. L’attaque a révélé les noms des étudiants, leurs adresses e-mail, leurs numéros d’identification et les communications de certains établissements d’enseignement. Le Threat Intelligence Group de Google a révélé que des pirates informatiques utilisaient des modèles d’IA pour découvrir et exploiter des failles logicielles jusqu’alors inconnues qui auraient pu conduire à des « opérations massives d’exploitation de vulnérabilités ». Ces incidents démontrent que la fréquence des cyberattaques augmente. Les outils qui la sous-tendent sont devenus plus rapides, moins chers et plus autonomes. Une question plus sérieuse est de savoir qui se défend contre eux ?
Selon l’enquête ISC2 Cybersecurity Workforce Survey, il existe une pénurie mondiale de 4,7 millions de professionnels de la cybersécurité. Combler cet écart nécessite d’être envisagé beaucoup plus tôt, avant que les étudiants ne décident d’un cheminement de carrière. L’intérêt pour l’informatique atteint son apogée au collège, puis diminue rapidement. Selon une étude de Girls Who Code, 70 % des adolescentes expriment un intérêt pour la cybersécurité, avec un pic d’intérêt vers l’âge de 16 ans, mais la plupart ne le poursuivent jamais. Beaucoup sont découragés en raison d’un manque de confiance en leurs capacités, d’une exposition limitée à ce que le domaine implique réellement et d’une faible connaissance de l’éventail de carrières qu’offre la cybersécurité. Actuellement, moins d’un quart des employés en cybersécurité sont des femmes.
À mesure que l’IA modifie la vitesse et l’ampleur des cyberattaques, la pénurie de main-d’œuvre devient encore plus aiguë. Les outils deviennent de plus en plus puissants, mais certains de ceux qui les construisent pensent que l’IA ne peut pas être la seule défense. Le Dr Zico Colter, directeur d’OpenAI et informaticien à l’Université Carnegie Mellon, a récemment déclaré au New York Times : « Nous avons toujours besoin d’un architecte logiciel ». Ce processus nécessite des personnes capables de repérer des modèles, de penser comme l’ennemi, d’évaluer les risques concurrents et de prendre des décisions à enjeux élevés.
Selon le dernier rapport de Fortinet, les experts citent le manque de compétences et de formation en informatique comme l’une des trois principales causes de violations. L’essor de l’IA a accru le risque de ce pour quoi les gens devront être formés. Se défendre contre les cybermenaces nécessite bien plus que des compétences techniques. Cela nécessite de comprendre comment les exploits numériques ciblent de vraies personnes et comment les vulnérabilités sont exploitées. Si les personnes qui construisent et protègent nos systèmes ne sont pas à l’image de celles qui en dépendent, ces systèmes y seront vulnérables.
C’est pourquoi le choix des personnes que vous embauchez pour la cybersécurité est tout aussi important que le nombre de personnes que vous embauchez. Lorsque les femmes se lancent dans la cybersécurité, il y a des avantages dans ce domaine. Les recherches menées par des femmes dans le domaine de la cybersécurité montrent que les femmes dans ce domaine surpassent leurs collègues masculins en matière de communication, de coordination et d’évaluation des risques. Ce sont les compétences de base d’une profession qui reposent sur l’expertise, le jugement, la collaboration et la capacité de réagir sous pression. Cependant, la représentation diminue rapidement avec le temps et encore plus aux niveaux de la haute direction. Cela reflète une structure de travail incapable de soutenir systématiquement l’avancement des femmes.
Nous savons comment empêcher les femmes de quitter le domaine. Les femmes travaillant dans le domaine de la cybersécurité ont identifié des interventions spécifiques efficaces, notamment des décisions de promotion basées sur un panel, des profils de compétences internes pour soutenir l’évolution de carrière et des programmes de mentorat structurés. Les entreprises qui ont adopté ces pratiques ont augmenté le nombre de femmes occupant des postes de direction de 20 %. Le même principe s’applique dès le début du processus. Une étude récente de Girls Who Code montre que les adolescents sont 16 fois plus susceptibles d’apprendre les métiers de la cybersécurité dans le cadre de programmes extrascolaires que dans une salle de classe traditionnelle. Si nous voulons vraiment assurer notre avenir numérique, nous devons investir dans la prochaine génération de Defender bien avant d’obtenir notre diplôme.
Les personnes qui entrent dans l’industrie ne prennent souvent pas un chemin direct. Lorsque des attaquants ont piraté les comptes Twitter de célébrités en 2020, Rachel Toback, une hackeuse éthique qui a étudié les neurosciences et la psychologie comportementale avant de se lancer dans la cybersécurité, a été l’une des premières à diagnostiquer correctement l’attaque comme une violation d’ingénierie sociale. Elle a publié des conseils pour aider d’autres organisations à se protéger. Lorsque WannaCry a frappé les hôpitaux du NHS en 2017, la chercheuse en logiciels malveillants Amanda Rousseau, qui a étudié la conception graphique, l’a procédé à une ingénierie inverse pour comprendre comment fonctionne le ransomware et comment arrêter le suivant. Aucun d’eux n’a suivi la voie traditionnelle. Tous deux sont devenus le genre de défenseurs dont le terrain a besoin.
Notre défense la plus solide nécessite à la fois des outils d’IA et le jugement humain. Cela signifie créer une main-d’œuvre inclusive, mieux préparée et plus représentative, avec des pratiques d’embauche et de promotion qui n’excluent pas les femmes, des parcours de carrière qui s’ouvrent bien avant leur entrée à l’université et des éducateurs qui montrent aux étudiants toute l’étendue du domaine.
Canvas était de nouveau en ligne quelques heures plus tard et Google a stoppé une attaque majeure avant qu’elle ne puisse commencer. À mesure que les attaques deviennent plus fréquentes et plus sophistiquées, la défense de nos systèmes nécessite un plus grand nombre de personnes prêtes à défendre les systèmes dont dépendent nos moyens de subsistance. 70% des adolescentes se disent déjà intéressées. Notre travail consiste à nous assurer que la porte est ouverte au moment où ils arrivent.
Les opinions exprimées dans les articles de commentaires de Fortune.com sont uniquement celles de l’auteur et ne reflètent pas nécessairement les opinions ou les croyances de Fortune.
