Il se reconvertit dans la cybersécurité en deux ans et sans diplôme : ses six conseils pour faire comme lui
Fatigué d'enchaîner des petits job alimentaires, Killian Guignard a décidé il y a deux ans de reprendre sa vie professionnelle en main. Aujourd'hui, à 30 ans, il occupe un poste d'analyste SOC en CDI, chez SysDream, une entreprise de cybersécurité appartenant à l'entreprise de services du numérique Hub One. Autodidacte, il a réussi à se former lui-même à la cybersécurité, en deux ans seulement, grâce à des certifications et une motivation qui a convaincu son premier et actuel employeur de l'embaucher. "Je n'ai jamais été très scolaire. J'ai simplement un baccalauréat scientifique en poche et je ne parvenais pas à réussir à l'université. Je faisais des petits boulots : du secrétariat, de l'animation pour des enfants, etc. Je ne faisais pas grand-chose mais j'ai pris conscience qu'il fallait que j'avance dans la vie."
Problème : il se retrouve très vite confronté aux exigences du marché, comme celle de posséder des diplômes : "Je savais que les entreprises étaient regardantes sur les diplômes, surtout ici, en France. Mais je me disais qu'il fallait que je trouve des solutions alternatives pour avancer, car je n'avais rien à perdre et que c'était mieux que de ne rien faire". Sans diplômes, il a méthodiquement trouvé des alternatives convaincantes pour s'introduire dans le marché du travail de la cybersécurité. Quelles sont-elles ?
1. Avoir un intérêt pour l'informatique
"Pour se diriger vers la cybersécurité en autodidacte, il faut avoir une appétence pour l'informatique. Cela peut être difficile pour quelqu'un qui n'en est pas familier. Cela ne peut qu'être compliqué pour quelqu'un qui ne touche pas à l'ordinateur", prévient-il. Toutefois, "nul besoin de revêtir tous les codes du hacker très cliché, avec la capuche sur la tête. Pour ma part, je n'étais pas un grand bidouilleur mais je me débrouillais bien avec l'ordinateur. Et j'avais les soft skills nécessaires pour me diriger vers la cybersécurité. J'ai une très bonne capacité d'apprentissage et une bonne adaptabilité. C'est-à-dire que j'ai une grande facilité à apprendre vite l'usage de certaines solutions de cybersécurité".
2. Valoriser ses compétences par des certifications
Le marché de la cybersécurité regorge de certifications privées pour améliorer continuellement ses connaissances. Il est conseillé à l'autodidacte d'en obtenir quelques-unes pour avoir plus de chances d'être recruté dans ce secteur : "Il y a beaucoup de certifications dans la cybersécurité. Je connais beaucoup d'étudiants qui en passent sur leur temps libre pour devenir analyste SOC comme moi. C'est un véritable plus". La preuve : Killian a obtenu deux certifications privées de cybersécurité, qui ont été déterminantes pour son recrutement. Il a obtenu la première en seulement deux mois. Elle était délivrée par Google. La deuxième était une certification délivrée par Splunk, obtenue en quelques semaines également, et qui lui a appris à manipuler les solutions du fournisseur américain, très utilisées dans les SOC.
3. Se forger des premières expériences
Pour les autodidactes, une des étapes les plus difficiles est de mettre à l'épreuve leurs connaissances grâce à des premières petites expériences. Celles-ci sont nécessaires pour convaincre des employeurs de les recruter. Olivia Defond, recruteuse spécialisée en cybersécurité, leur conseille d'accepter des stages gratuits et de créer leur auto-entreprise, grâce à laquelle ils peuvent facturer des prestations à des entreprises : "Une personne autodidacte qui a la niaque peut se mettre à son compte et accepter, dans un premier temps, des projets peu payés pour se faire la main. Je trouve que c'est une très bonne façon d'entrer sur le marché du travail". Souvent, ces projets sont des petites missions de bug bounty et de pentest dénichées grâce à des plateformes comme YesWeHack qui mettent en relation prestataires et clients.
"C'est aussi bienvenu d'avoir des projets personnels liés à la cybersécurité : monter son mini-SOC, sa petite infrastructure de sécurité, poster des projets sur GitHub", insiste Killian Guignard. L'autodidacte peut aussi s'entraîner et monter en compétences grâce aux plateformes de hacking éthique, comme Hack The Box et Hack Me. Celles-ci lui permettent aussi d'échanger et de collaborer avec d'autres autodidactes et experts en cybersécurité, pour s'améliorer.
4. S'intégrer à la communauté cyber
Hervé Pellarin, responsable de la sécurité des systèmes d'information au centre hospitalier Annecy Genevois, est lui aussi entré dans le milieu de la cybersécurité en autodidacte, dans les années 2000. Tout cela n’aurait jamais été possible sans certaines rencontres déterminantes avec des experts en cybersécurité, qui, percevant sa passion et sa détermination, lui ont tendu la main. Selon lui, le milieu de la cybersécurité, fondé sur les relations de confiance, est propice à ces rencontres : "J'ai construit ma vie sur l'aventure humaine. Dans la communauté cyber, les relations de confiance se mettent très vite en place. Ces relations perdurent dans le temps". C'est pourquoi il conseille aux autodidactes de fréquenter cette communauté à travers ses multiples événements. "Il faut aller dans les salons, échanger avec les experts sur les stands, tisser des relations, aller dans les conférences", ajoute Olivia Defond.
5. Utiliser les réseaux sociaux pour exposer son expertise
Une des hantises de l'autodidacte est d'être en incapacité de démontrer son expertise aux employeurs, celle-ci ne faisant pas l'objet d'un diplôme et ses expériences étant souvent éparpillées. Il lui est alors conseillé d'utiliser LinkedIn pour promouvoir ses compétences : "J'ai mis en avant mes certifications, ma motivation et mes soft skills sur LinkedIn. Etant un grand joueur de jeux vidéo, j'ai par exemple expliqué, sur la plateforme, en quoi ceux-ci me transmettent des compétences utiles pour le monde professionnel de la cybersécurité : le sang-froid, la détermination, etc. Et c'est à ce moment-là que j'ai été contacté par un analyste SOC de l'entreprise dans laquelle je suis actuellement, et qui m'a proposé un entretien". "LinkedIn est en effet utile car aujourd'hui, si vous êtes silencieux vous n'existez pas !", insiste Olivia Defond.
Les projets personnels doivent aussi être mis en valeur sur la plateforme et le curriculum vitae : "Le recruteur ne peut que tomber sous le charme d'un candidat qui démontre l'existence de projets personnels comme ceux postés sur GitHub. Il va s'apercevoir qu'il s'agit d'un candidat qui en a envie, qui est passionné", précise Killian Guignard.
6. Dissiper le syndrome de l'imposteur
Une fois recruté, l'autodidacte redoute d'être perçu comme un imposteur par ses collègues titulaires de diplômes. Dans le cas de Killian, ce syndrome de l'imposteur s'est vite dissipé. Et pour cause, la cybersécurité repose davantage sur des connaissances issues de l'expérience que par des diplômes, selon Olivia Defond et lui-même. "Quand je suis arrivé chez Hub One, j'avais peur qu'on me considère comme illégitime. Je me faisais des montagnes de crainte. Mais mon syndrome de l'imposteur est vite parti car j'ai été rassuré par l'attitude de mes collègues qui m'ont accompagné. Aujourd'hui, je ne suis plus du tout complexé car je considère que je suis capable de faire les mêmes choses que ceux qui ont effectué cinq années d'études en cybersécurité. Pour moi, c'est l'expérience qui prime dans ce secteur", insiste Killian Guignard.
"Je me sens extrêmement chanceux d'être là où je suis aujourd'hui. (…) J'aime dire que j'ai provoqué cette chance : en me lançant dans des formations en autodidacte, en postant quelques CV et en publiant des messages sur LinkedIn, tout ça crée des opportunités qui m'ont conduit jusqu'à mon CDI dans la cybersécurité", conclut-il.