La cybersécurité manque (encore) cruellement de bras en France

La cybersécurité se place aujourd'hui au cœur des priorités des entreprises du monde entier, même si beaucoup d'entre elles n'ont pas encore les ressources nécessaires en interne et que nous assistons à une pénurie globale de talents pour occuper des postes clés.

Chaque année, le même refrain se répète : les experts en cybersécurité sont en nombre insuffisant au regard des besoins des entreprises. Conscientes de ce manque à combler, les écoles d’ingénieurs s’emploient à rendre cette filière plus attractive mais la tâche est loin d’être simple car aujourd’hui encore de trop nombreux facteurs concourent à entretenir une pénurie de vocations. En France, le nombre d’offres d’emploi est largement supérieur à la quantité de professionnels disponibles sur le marché du travail. Pourquoi ce secteur peine-t-il autant à attirer et à former des experts ?

 

Frein 1 : une image sectorielle poussiéreuse en décalage avec la réalité


La première entrave aux vocations est la nature même du secteur : il reste obscur pour une grande partie de la population qui, trop souvent, et à tort, n’en perçoit que les aspects les plus caricaturaux : des informaticiens aux aguets devant un mur d’écrans surveillant le défilement de lignes de code dans un désert relationnel total. Rien n’est plus faux, mais cette image persiste.

 

Par ailleurs, les interventions médiatiques des experts en cybersécurité sont incompréhensibles pour les non-spécialistes. La "langue cyber" peine à communiquer les aspects captivants de sa recherche universitaire, l’intérêt de ses défis techniques, ainsi que le caractère hautement relationnel de ses professions. Simplifier les messages, dynamiser les prises de parole, intervenir davantage dans les médias, séminaires et centres de formation sera nécessaire pour que les talents perçoivent avec plus de justesse la nature réelle de ce secteur ambitieux et moderne.

 

Frein 2 : des cursus d’apprentissage trop longs réservés à une élite scientifique

 

Une formation d’excellence en sécurité informatique ne peut être envisageable qu’après quatre ans d’études supérieures puisqu’elle implique obligatoirement de maîtriser de nombreuses compétences techniques comme les langages de programmation, technologies des réseaux, systèmes d’exploitation, virtualisation, architecture web, BigData, Cloud… Former des experts qui seront les garants de notre sécurité sur le net est un processus long impossible d’écourter sans nuire à la qualité de l’enseignement dispensé. De plus, trouver des professeurs possédant l’expérience pratique suffisante pour concevoir des travaux dirigés n’est pas une tâche facile.

 

Manque d’hommes ? De temps ? De programmes de formation établis ? D’expérience générale en la matière ? C’est un fait. Et nous devons l’accepter.

 

Se précipiter ou former partiellement les futurs protecteurs des systèmes informatiques qui règleront et dérègleront le fonctionnement de nos sociétés n’est pas une solution. Pour limiter ces mauvaises pratiques et valoriser les formations d’excellence, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de créer une certification SecNumédi afin de labelliser les établissements d’enseignement supérieur dispensant une formation exigeante en cybersécurité.

 

Frein 3 : des recruteurs non spécialisés aux commandes

 

Recruter des ingénieurs en cybersécurité est un défi de taille pour des chasseurs de tête pas forcément familiers avec la technicité de ce poste clé. Ce type de profil est d’autant plus difficile à trouver que chaque entreprise a ses propres priorités et enjeux : identifier un professionnel ayant un bagage technique large et polyvalent pour comprendre des problématiques et langages variés est de mise.

 

Au-delà de ces critères de sélection théorico-pratiques, les soft skills sont à prendre en compte, peut-être encore plus que pour les autres métiers liés à l’informatique. Un spécialiste de la cybersécurité doit être éthique et créatif. Il doit aimer résoudre des problèmes complexes, se mettre dans la peau des cyberdélinquants sans franchir la ligne rouge et créer un climat de confiance autour de lui dans un environnement constamment sous tension.

   

Frein 4 : une mixité inexistante

 

D’après une nouvelle étude de l’International Information Systems Security Certification Consortium, les femmes ne représentent que 11% des effectifs dans la cybersécurité. Parmi les causes de ce désamour mises en avant, les stéréotypes occupent une place importante. Une femme interrogée sur trois associe les professionnels de la sécurité informatique à des "geeks". Fatiha Gas, directrice du campus de Paris de l’Ecole supérieure d’informatique, déclare que ces clichés absurdes sont en partie véhiculés par les séries télévisées américaines et nourrissent injustement l’imaginaire du grand public. "Conséquence : le secteur de la cybersécurité – et du numérique en général – manque encore de figure féminine médiatisée".

 

Féminiser les professions de la cybersécurité est un impératif qui obéit à un besoin d’évolution sociale en général, mais aussi à un constat : les femmes qui exercent dans ses métiers y obtiennent des résultats souvent meilleurs. Elles sont plus innovantes et possèdent très tôt des compétences verbales et relationnelles plus aiguisées qui leur permettent de mener des audits avec d’excellents résultats.


Frein 5 : un manque de reconnaissance de la profession

 

Pour attirer davantage les étudiants dans ce domaine porteur, les entreprises n’hésitent pas à proposer des salaires très attrayants. En France, le salaire des spécialistes en cybersécurité serait ainsi 2,6 fois plus élevé que la moyenne dans les pays de l’OCDE (soit plus de 80 000 euros selon ce même organisme). Mais cela ne suffit pas. Le problème n’est pas financier, il est culturel. La cybersécurité est un secteur nouveau issu du boom digital. Finalement aujourd’hui, très peu de personnes connaissent les tenants et les aboutissants de cette industrie. Du côté des utilisateurs, il y a encore un immense effort de compréhension des risques cyber à faire. Nous devons sensibiliser davantage la population à l’importance de protéger les systèmes informatiques et ainsi créer une culture de sûreté numérique. L’idée est simple : si une personne ignore qu’une profession existe, il ne l’exercera pas.

La technologie est de plus en plus intégrée à nos vies, et ces connexions engendrent des cyberrisques nouveaux ou différents. A mesure que les organisations investissent dans les solutions numériques afin de répondre aux exigences des consommateurs et des citoyens, les secteurs privé et public doivent également investir dans l’amélioration des mesures de cyberprotection. Cet investissement doit notamment soutenir la formation de professionnels en cybersécurité pour mettre fin à la pénurie.