Certifications de compétences cyber : trier le bon grain de l'ivraie
OSCP, Certified Ethical Hacker, CISSP ou encore Lead Implementor ISO27001 : sur les profils des professionnels de la cybersécurité, les certifications s'affichent parfois comme des badges scouts. Il en existe pour tous les domaines et toutes les spécialités, allant des certifications généralistes à celles spécialisées sur une technologie spécifique. Si chacun a sa spécificité, le système est généralement le même : préparer un examen et le faire valider, en ligne ou en présentiel, permet d'obtenir une certification dont la validité expire généralement au bout d'un temps donné.
Des certifications pour tous les goûts
Certaines certifications sont liées à des normes internationales ou à des régulations, comme les certifications ISO27001 Lead implementor qui témoignent de la capacité à mettre en place les recommandations de la norme du même nom, ou les certifications liées aux référentiels NIS2 et DORA. D'autres, comme le CISSP ou le CCSP sont proposées par des entreprises privées, souvent américaines, et offrent des formations sur des thèmes plus généralistes liés à la sécurité des systèmes d'informations, ou des validations de compétences plus spécialisées comme l'OSCP, destinée au spécialistes des tests d'intrusion. Enfin, les fournisseurs de solutions proposent eux aussi leurs formations sur les technologies qu'ils proposent, à l'instar du CCNA des produits Cisco.
Ces différentes certifications sont fléchées pour des fonctions particulières, comme l'explique Delphine Chaligne, responsable du recrutement cyber chez Capgemini : "Certaines certifications sont privilégiées en fonction des postes, par exemple, des certifications comme CISSP ou CISM sont encore cruciales pour des postes de direction en cybersécurité." La société de conseil assure investir dans la formation de ses employés et espère à terme "avoir 100% de nos collaborateurs en cybersécurité disposant d'au moins une certification", précisant que la connaissance des référentiels DORA et NIS2 sont les compétences les plus recherchées à ce jour.
Mais face à cette surabondance, il faut pourtant savoir trier le bon grain de l'ivraie comme le rappelle Hervé Schauer, dirigeant du centre de formation HS2 : "Je suis toujours un peu étonné de la confiance excessive accordée aux certifications. On pourrait penser que ce n'est pas dans mon intérêt de dire ça, mais je pense que les employeurs se reposent beaucoup trop sur ces certifications". Plutôt que de simplement se fier à l'intitulé, il vaudrait mieux vérifier les compétences réelles de la personne, explique Hervé Schauer. Mais rares sont les décideurs qui ont le temps pour jauger les compétences de tous les candidats : "Dans ce cadre, les certifications de compétences sont utiles, mais il faut avoir conscience de la disparité des contenus et des enseignements. Ce qui est important, c'est d'avoir confiance en l'organisme de formation et dans le contenu de la certification" , précise-t-il.
Les acteurs américains gardent la main
Dans la cybersécurité, le monde des certifications est principalement dominé par des organismes américains à l'instar de l'ISC2, ISACA ou encore le SANS Institute. Une proéminence qui a des conséquences pour ceux qui souhaitent passer certaines certifications parmi les plus prestigieuses : la formation et l'examen sont souvent intégralement en anglais, et les contenus taillés en premier lieu pour un public anglo-saxon. Pourquoi l'Europe n'a-t-elle pas développé des offres similaires?
Comme l'explique Hervé Schauer, c'est avant tout une question de priorité : "Je me souviens d'avoir été invité à une réunion organisée par l'ENISA il y a une vingtaine d'année, afin de se poser la question de développer des certifications de compétences dans le domaine de la cybersécurité. La conclusion du colloque, c'est que le sujet n'était pas prioritaire comparé aux autres défis à relever." La conséquence de ce désintérêt, c'est que les certifications américaines se sont largement imposées dans le monde entier, au point parfois de supplanter les diplômes auprès des recruteurs. "Si en France, le diplôme d'école d'ingénieur reste le graal, dans les autres régions du monde les recruteurs accordent une plus grande importance aux certifications. C'est assez visible en Amérique du nord par exemple", assure un recruteur spécialisé dans la cybersécurité.
Qui vérifie les certifiés?
Les certifications de compétence sont avant tout un outil utile pour un candidat qui cherche à se faire recruter. Cela permet de se démarquer ou de signaler certaines compétences particulières sur son CV. Mais ce n'est pas la seule raison qui peut pousser les professionnels à obtenir ces validations. Le sujet est ainsi essentiel pour les cabinets de consultants qui cherchent à travailler pour des clients à l'international, explique Delphine Chaligne : "Dans le cadre de certains marchés concurrentiels, notamment internationaux, les certifications sont prises en compte dans l'évaluation des candidats afin d'objectiver la capacité d'une entreprise à délivrer des projets stratégiques avec des équipes opérationnelles formées et suffisamment dimensionnées pour minimiser les risques projet."
Cette tendance se retrouve notamment dans des secteurs régulés ou manipulant des données sensibles comme le monde de la banque ou de la finance. Dans ces cas-là, les régulateurs s'intéressent de près aux certifications obtenues. "C'est d'ailleurs l'un des rares secteurs où j'ai vu des employés dont une part de la prime annuelle était indexée à l'obtention de certaines certifications. Le fait est que les régulateurs étrangers regardent plus volontiers le nombre de collaborateurs certifiés CISSP que les diplômes d'écoles d'ingénieurs qu'ils ne connaissent pas toujours", ajoute Hervé Schauer. Autre motivation pour les cabinets de consultants qui souhaitent afficher des partenariats avec des fournisseurs comme Azure, AWS ou les technologies Cisco : le nombre de certifications d'entreprise détenues par les employés est dans ce cas là observé de près et fait partie des critères à prendre en compte.
Reste une inconnue : qui vérifie l'obtention de ces certificats? Certains organismes américains proposent un système assez simple s'appuyant sur des QR Code ou des identifiants permettant de s'assurer que la personne affichant la certification l'a bien obtenue. Mais ce n'est pas le cas de tous, et la seule solution reste parfois de contacter l'organisme de certification, ce qui est loin d'être systématique : "C'est rare qu'on nous contacte pour vérifier que des personnes ont bien obtenu des certifications chez nous, cela a peut-être dû nous arriver deux fois en vingt ans", explique Hervé Schauer.