Cisco prédit une pénurie de spécialistes de la sécurité informatique en 2014

Java demeure le langage le plus fréquemment visé par les criminels

Le 2014-01-16 18:04:34, par Hinault Romaric, Responsable .NET

Cisco vient de publier son rapport annuel sur la sécurité pour 2014, qui révèle que le nombre total de vulnérabilités et de menaces a atteint un niveau record depuis le début de leur recensement en mai 2000. En octobre 2013, le nombre total d'alertes cumulées a augmenté de 14 % en glissement annuel par rapport à 2012.

Le rapport de Cisco note de multiples méthodes assez sophistiquées (ingénierie sociale, infiltrations, etc.) utilisées par les cybercriminels. Les entreprises, qui ne sont pas assez parées pour assurer leur sécurité, feront en plus face à un manque de professionnels en sécurité. Cisco souligne que l’année 2014 sera marquée par une pénurie de plus d'un million de professionnels spécialisés dans le domaine de la sécurité.

« Du fait de leur sophistication, les technologies et tactiques employées par les criminels en ligne – et leurs tentatives incessantes d’infiltration dans les réseaux et de vol de données – ont désormais pris de vitesse les professionnels de l'informatique et de la sécurité. La plupart des entreprises ne bénéficient pas de personnel ou de systèmes dédiés en permanence à la surveillance des réseaux étendus et à la détection des menaces. », note le rapport de Cisco.

La plateforme Java est celle la plus fréquemment visée par les cybercriminels. D'après les données fournies par Sourcefire (société détenue par Cisco), les exploits Java constituent la vaste majorité (91 %) des corruptions recensées par les indicateurs IOC (Indicators Of Compromise).

Le paysage d’Internet a enregistré une recrudescence des attaques par déni de service (DDOS), qui ont perturbé le trafic et ont même paralysé certains FAI. Les attaques DDOS ont progressé à la fois en termes de volume et de gravité. « Certaines attaques DDoS ont pour objectif de dissimuler d'autres activités néfastes, telles que des fraudes électroniques perpétrées avant, pendant ou après une campagne DDoS, volontairement déstabilisantes et retentissantes. », note le rapport.

En ce qui concerne les logiciels malveillants, les chevaux de Troie multi-cibles ont été les plus fréquemment repérés. Les attaques des chevaux de Troie multi-cibles représentent 27 % de l’ensemble des attaques enregistrées en 2013. Les scripts malicieux, notamment les exploits ou les iframes malveillants, constituent la deuxième catégorie d'attaques les plus courantes, avec 23 %.

Source : le rapport de Cisco

Et vous ?

Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

Discussion forum

14 commentaires

benjani13
Membre extrêmement actif

Il faudrait peut être que les métiers de la sécurité informatique sorte de l'ombre (bon là je parle pour la France, je ne sais pas ce qu'il en est aux États Unis).

Je suis étudiant (3ème année de cursus en informatique) et en 3 ans on ne m'a parlé qu'une seule fois de sécurité. Il s'agissait d'un module de quelques heures seulement, portant sur l'évaluation des risques. Quelques heures en 3 ans donc, et probablement en 5. De plus, on ne m'a jamais montré le moindre semblant de poursuite d'étude qui pourrait déboucher sur les métiers de la sécurité.

A partir de là on comprend pourquoi le manque de professionnels est là. Après, est-ce que le constat est le même en France? Car d'un autre côté je me dit que si les entreprises de sécurité ne se manifestent pas auprès des étudiants c'est qu'ils ne cherchent pas à embaucher.

le 16/01/2014 à 22:51
bytecode
Membre actif

on le sait tous mettre la poussière sous le tapis c'est pas la solution...

Plus de dev et moins de juriste pour Oracle serais déjà une avancé mental forte
un plus pour l'image pour des utilisateurs avertis...
Mais combien de développeurs font leurs choix de langage en se servant de ce style de critères... donc plus de bruit plus de sécurité non ?

le 16/01/2014 à 20:42
PapsOu
Membre du Club

Et aller, Java en prend encore plein la tronche.....

Vu en entreprise : JRE 1.5 utilisé alors que le 1.7 était sorti depuis plus d'un an. Et bien sûr, aucune possibilité d'upgrader quoique se soit sur les postes, vu qu'ils étaient bridés à mort (Windows XP). Donc, un service informatique complètement à la ramasse forçant à utiliser des technologies dépassées... Et après on met la faute sur les développeurs ?

Arrêtons de tout mettre sur le dos des développeurs, car la plupart des trous de sécurité persistent à cause des « politiques » SI imposés par des gens complètement incompétent qui préfèrent rester sur des vieilles versions de logiciels plutôt que de favoriser les mises à jour des applications trop dépendantes de ces versions obsolètes.

Il faudrait peut être apprendre aux DSI à se mettre rapidement à la page et à considérer qu'investir des fonds dans le maintien à jour du parc applicatif n'est pas de l'argent perdu pour rien.

le 17/01/2014 à 8:10
IsiTech
Membre actif

Envoyé par Hinault Romaric

Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

J'ai eu cette année une conférence d'un grand groupe français spécialisé dans l'informatique professionnelle et la sécurité. Ils proposent des stages... mais n'embauchent pas après. C'est qu'un exemple isolé mais je ne pense pas que les candidats manquent.

le 16/01/2014 à 22:15
bruneltouopi
Membre confirmé

Est ce que les développeurs d'Oracle sont incompétents?
Ou alors la sécurité Java n'est pas la priorité de Oracle.
Je me pose la question s'il y'avait des failles de sécurité aussi criardes depuis dans le SGBD oracle cela aurait été longtemps résolu.
Voilà Mysql qui est devenu une boite noire detenu par Oracle alors les entreprises vont de plus en plus vers MariaDb.
Ensuite Abandon de support de l'Open Glassfish.
Vraiment je ne comprend pas la politique d'Oracle.C'est du capitalisme pur en tuant des produits qui évoluaient très bien avant eux.

le 17/01/2014 à 10:19
n5Rzn1D9dC
Membre averti

C'est ridicule de ne prendre que des gens avec une certaine expérience pour la sécurité.
Et même pour la plupart des jobs.
Comment je galérais quand j'étais jeune pour trouver un job, juste à cause de ce filtrage de l'expérience.
J'ai déjà tenté de dire "vous pouvez me tester sur ce que vous voulez", mais rien à faire.
Et pourtant, une fois un mec m'a embauché avec des pincettes, et au final, je me suis rendu compte avec le temps que j'avais un niveau bien supérieur au sien. Donc mdr quoi..
Pas que je me surestime, c'est surtout lui qui se surestimait à mort du faite de son expérience de 20ans qui au final tournait toujours autour des mêmes choses, voir des mêmes erreurs répétées depuis des années.
Genre le matin "bon là aujourd'hui t'en a au moins pour 5 heures minimum".
1h30 après j'avais fini. Mais lui ça prenait 5 heures.
C'était le genre de mec "on a plus le mot de passe de ces deux pc, il faut réinstaller le systême".
Alors que le cracking par rainbow table existait déjà depuis pas mal de temps, qui pouvait craquer n'importe quel mdp winxp en moins de 5 minutes..
C'est même au point que lorsque le cd a fini de booter, le mdp est déjà affiché à l'écran..
Mais mon boss lui, il n'avait pas connaissance de ça, puisqu'il ne suivait pas les actualités car se croyait tellement supérieur grâce à sa grande expérience.

le 18/01/2014 à 12:34
gangsoleil
Modérateur

Cisco a 2 mois de retard sur developpez : on en parlait en octobre de la penurie de main d'oeuvre en securite : http://www.developpez.net/forums/d13...cybersecurite/

Et les arguments avances sont chaque fois les memes, mais personne ne forme ni ne recrute en attendant.

le 21/01/2014 à 11:24
n5Rzn1D9dC
Membre averti

Bah disons que c'est le bon plan pour les concepteurs de malware.
Ca leur permet de faire un code qui fonctionnera sur énormément de platforme.
Idem si il s'agit d'une faille.

Du coup c'est peut être simplement la faute à l'air du temps.
C'est la bonne platforme au bon moment pour les pirates informatique.

le 17/01/2014 à 13:05
Reward
Membre confirmé

Il y a 10 ans, quand j'étais encore dans les études, c'était quasi inexistant, et ceux dans toutes les formations bac+4/bac+5 que j'avais regardé.

La suite, c'est un cercle vicieux: dans à peu près n'importe quel poste de sécurité, on te demande pas loin de 10 ans d'expérience...

Comment faire quand tu n'as jamais pu commencé ? J'ai du tiré un trait sur ce sujet alors que cela me passionnait.

le 18/01/2014 à 9:37
BufferBob
Expert éminent

Envoyé par Hinault Romaric

Cisco prédit une pénurie de spécialistes de la sécurité informatique en 2014
(...)
Qu'en pensez-vous ? La sécurité est-elle un secteur qui attire peu ?

"pour bien sécuriser il faut savoir pirater ", c'est presque devenu un proverbe tant il permet à tous ces ados en mal de toute-puissance de légitimer le fait qu'ils apprennent plus facilement à utiliser Metasploit qu'à corriger un code source, le problème vient peut-être en partie de là
la réalité c'est que dans les milieux "hackers" français pour le moins, on ne trouve que très peu d'information sur "comment sécuriser" et un océan de "comment trouer", que la sécurité informatique est quelque chose de difficile, pluridisciplinaire par nature et nécessite de fait d'avoir des connaissances étendues sur tous les domaines que couvre l'informatique dans ses aspects plus réguliers

ma conviction personnelle c'est que la tendance est plus à la facilité qu'à l'informatique de passionnés comme c'était le cas il y a encore quelques années, le "hacking" et la sécurité informatique qui auparavant fascinaient par les légendes urbaines et les clichés hollywoodiens qu'ils véhiculaient ont aujourd'hui été assimilés par le système, et là où il y avait possiblement un besoin un moment donné de cadors en sécu, aujourd'hui les postes sont pourvus, rendez-vous dans quelques années pour une nouvelle fournée

le 21/01/2014 à 9:55

Poster une réponse