Quel référentiel pour les métiers de la cybersécurité ?

L’intérêt d’un référentiel est multiple : développer d’une vision partagée ; structurer les cursus de formation ; faciliter l’orientation des personnes intéressées ; faciliter l’émission d’offres d’emploi et donc la recherche de candidats adaptés.

Disposer d’un référentiel permet en outre d’orienter le marché en fonction de ses besoins et est donc très intéressant en termes d’influence.
Attention, cependant, à éviter plusieurs écueils. Il n’existe de référentiel miracle, universel et adapté à toutes les situations. Une partie de ce référentiel sera spécifique aux organisations considérées, du fait des particularités de celles-ci et de leurs contraintes. De plus, il convient de régulièrement mettre à jour ce référentiel en fonction du marché et de l’évolution des concepts opérationnels. Il s’agit de ne pas construire un référentiel trop « globalisant »; le terme « cyber » renvoie ainsi à des réalités très différentes et trop larges. Enfin, un référentiel n’est pas autonome au sens où les emplois et compétences qu’il catégorise et décrit ont nécessairement des liens avec d’autres activités.

Les métiers

Un référentiel des métiers de la cybersécurité se doit d’être le plus opérationnel possible. Distinguer les métiers selon leur statut ne suffit pas. Une telle segmentation, prise isolément, nuit à l’efficacité en privilégiant une vision hiérarchique, souvent contre-productive, au détriment d’une vision globale mettant en avant la complémentarité des métiers.
A contrario, une classification opérationnelle des métiers permet :
  • Une vision globale de la gestion de la menace;
  • Une traduction opérationnelle de la stratégie vers les métiers;
  • Une meilleure gestion des effectifs grâce à l’identification des écarts entre les besoins et la réalité;
  • Une mise à jour plus aisée et flexible, adaptable aux mutations de la cybermenace, en évolution constante;
  • Une gestion plus efficace des compétences clés, directement adaptées aux besoins métiers, besoins métiers eux-mêmes calqués sur la stratégie plus globale de cybersécurité.
La définition des métiers dépend du canevas développé dans le droit fil de la stratégie élaborée. Les fonctions suivantes peuvent être reprises afin de classer les différents métiers de la cybersécurité : La sécurité en amont - L’analyse des risques et menaces  - L’administration et la maintenance du SI - La protection du SI - Les opérations cyber - L’investigation numérique.
A ces 6 fonctions de la cybersécurité, peuvent être ajoutées les fonctions support suivantes : Conseil et appui juridique - Vente – Marketing - Entrainement et formation.
Ces fonctions sont complémentaires et interdépendantes. Elles se recoupent et se superposent tout au long du cycle de gestion de la menace. A ces fonctions sont associés des emplois types.

Les compétences et les « talents » ou « appétences »

Déterminer les fonctions clés du référentiel permet de définir une vision globale des métiers de la cybersécurité. Les catégories ainsi définies reflètent une vision, une perception de la fonction cybersécurité, et une stratégie. Il est également important de référencer les compétences, talents ou appétences des personnels, afin d’orienter au mieux leur carrière en leur proposant les formations adaptées à leur profil et correspondant à leurs ambitions.
Si la matrice des compétences est le document le plus objectif à réaliser, une matrice des talents et appétences est également importante afin de mieux comprendre les profils et leurs ambitions.

Le croisement des métiers et des compétences 

Pour accompagner la mobilité, il est indispensable de flécher un parcours cohérent et réaliste. Pour ce faire, le référentiel métier peut indiquer auprès de chaque poste, à l’aide d’indicateurs, la densité métier, IT ou sécurité nécessaire.
  • L’indicateur de « densité IT » traduit la part plus ou moins technique du métier;
  • L’indicateur de « densité sécurité » indique l’importance de la culture sécurité;
  • L’indicateur de « densité métier » souligne l’importance de la connaissance du secteur d’activité constituant l’environnement de travail du professionnel de la cybersécurité.
Ces indicateurs sont mis en correspondance avec les compétences et talents requis pour chacun des postes. La présence ou l’absence de telle compétence ou tel talent permettra d’évaluer, in fine, la densité IT, sécurité ou métier d’un poste en cybersécurité.
L’objectif est donc de disposer d’un référentiel adapté à son organisation avec un niveau de granularité suffisant pour que l’ensemble des acteurs s’y retrouvent facilement. Ce référentiel doit être partagé et cohérent, au moins en partie, avec les autres acteurs du marché sur lequel on évolue. Il doit être ciblé sur l’ensemble des emplois liés à la sécurité et à la confiance numérique. Son scope doit cependant dépasser la cybersécurité pour prendre en compte également les aspects « métiers » de l’organisation concernée.