Changer de regard sur la cybersécurité grâce à la formation

Alors que les attaques ne cessent d’augmenter, il est nécessaire de se pencher dès aujourd’hui sur les solutions pour pallier au manque de ressources considérable dans le domaine de la cybersécurité.

L’écosystème numérique accuse aujourd’hui un manque de ressources considérable dans le domaine de la cybersécurité. L’Europe comptera plus de 350 000 postes à pourvoir à l’horizon 2022 et d’un point de vue plus global, ce sont un million de postes qui seront vacants. Alors que les attaques ne cessent d’augmenter, il est nécessaire de se pencher dès aujourd’hui sur les solutions pour pallier ce manque.

Le problème ne se limite en effet pas au comportement des entreprises en termes de sécurité, il est bien plus profond : si les entreprises sont si fragilisées, c’est aussi en raison des idées reçues sur la cybersécurité dans les écoles et dans les organisations elles-mêmes.   

Un corps de métier à mieux valoriser au sein des entreprises

Les entreprises ont parfois du mal à appréhender les questions de sécurité informatique, pourtant primordiales pour mener à bien leurs activités : retour sur investissement difficile à évaluer, règles contraignantes et manque de maturité de la part de certains managers sur la nécessité d’avoir des équipes dédiées sont dans la pratique des obstacles réels à la mise en place d’une stratégie pérenne par les organisations. Et lorsqu’il s’agit d’attirer des talents, seules les organisations dédiées et comprenant les enjeux de la sécurité en font une bonne publicité.

Les entreprises qui doivent remanier leur budget IT ou réattribuer les ressources en interne sont parfois tentées de revoir à la baisse les moyens humains et financiers de leur équipe cybersécurité. Pourtant, toutes les couches de l’entreprise, du stagiaire au PDG, doivent être sensibilisées aux enjeux comme aux bonnes pratiques. La formation des équipes internes et des managers est aujourd’hui indispensable, compte tenu des menaces et attaques pirates de très grande ampleur que nous avons connues en 2017 comme Petya et WannaCry.

Une approche à la fois théorique et pratique est primordiale pour mieux comprendre le sujet. Encore trop peu présente dans les entreprises, la formation à la cybersécurité doit devenir un passage obligé pour tous les salariés afin de mieux comprendre les enjeux de sécurité de leur environnement professionnel. Chez Huawei France, nous formons tous les niveaux hiérarchiques par le biais de séances de sensibilisions adaptées. Nous effectuons une mise à jour des contenus en fonction de l’actualité et deux séances par mois sont planifiées. Enfin, tous les employés sont tenus (y compris le Directeur de la Cybersécurité!) de passer un examen annuel.

Mais former ses propres salariés n’est pas suffisant pour que tout le monde soit sensibilisé. Il faut aussi penser aux futurs talents de l’entreprise qui pourront avoir dès le départ dans leurs bagages une formation cybersécurité qui aidera au changement dans la structure qu’ils rejoignent.

Une palette de formations initiales à développer

Aujourd’hui, il faut considérer que deux vecteurs de ressources métier existent : celui des étudiants en cursus ingénieur et celui des personnes en reconversion professionnelle. L’éducation supérieure française compte plus de 145 diplômes dédiés à la cybersécurité, de la licence professionnelle aux Mastères spécialisés.

Ce chiffre peut paraitre conséquent, mais les formations ne sont pourtant pas encore assez nombreuses. Les différentes structures ne peuvent en effet pas accueillir un nombre suffisant d’élèves pour combler le manque de ressources et les besoins des organisations. Il est donc important de développer plus de formations et de diplômes dédiés à la cybersécurité et ce dans toutes les universités et écoles d’ingénieurs de France, afin d’ouvrir plus de places à ces métiers encore trop ignorés du grand public. Je participe d’ailleurs au groupe de travail du Syntec Numérique sur la reconversion des salariés vers les métiers de la Cyber.

Aussi, le cursus des étudiants ne sera complet que si le travail sur le terrain est inclus dans le tronc commun de formation. Il s’agit pour les étudiants formés d’aller en laboratoires et de traiter en réel des scénarii d’attaques pour mieux comprendre ce qui les attend dans la « vraie vie ».

La cybersécurité : nouveau débouché pour la reconversion professionnelle

Les formations initiales précédemment citées sont naturellement les premières vers lesquelles les entreprises et recruteurs se dirigent. Pourtant, la reconversion professionnelle est un extraordinaire vivier de talents qu’il ne faut surtout pas négliger. D’aucuns pourraient avoir des scrupules à confier des postes aussi clés dans l’entreprise à des personnes en reconversion. Détrompez-vous ! Tout comme les étudiants, les personnes en reconversion professionnelle reçoivent des formations basées sur ce qui est appris dans l’enseignement supérieur pour changer de vie professionnelle. Elles disposeront donc du même socle de compétences à l’issue de leur formation qu’un étudiant jeune diplômé. L’expérience en plus !

Que les candidats se rassurent, il n’existe pas de profil type pour devenir un expert de la cybersécurité : il est impératif d’être à l’écoute de son environnement, interne comme externe, d’être curieux, d’avoir des capacités de veille et de recherche très développées, et enfin d’être un véritable caméléon pour pouvoir se mettre à la place des pirates et anticiper les attaques.

Pour répondre à tous les besoins, il existe donc aujourd’hui de nombreuses solutions pour aider les entreprises à prendre conscience des nouveaux enjeux de la cybersécurité, à former leurs collaborateurs et à miser sur les talents qui viendront rejoindre leurs équipes. Les pouvoirs publics ont eux aussi saisi l’importance du sujet, comme l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui a fait de la formation et la sensibilisation des Français à la sécurité du numérique l’un de ses enjeux majeurs. L’agence propose ainsi des cours en ligne, via son MOOC SecNumacadémie, qui s’adressent aux étudiants, salariés, dirigeants d’entreprise et particuliers. Une étape de plus dans la bonne direction, même si beaucoup reste à faire.