Cybersécurité : des vocations à susciter pour des métiers entre passion et abnégation

Proclamer qu'il y a 15 000 postes à pourvoir dans la cybersécurité ne suffit pas à attirer des talents. Est-ce une vocation  ? Faut-il être passionné ?

Les professionnels de la cybersécurité sont certes passionnés par leur matière, mais ils font surtout preuve d’un sens de l’abnégation sans limites. 

En effet, la majorité des attaques se déroulent pendant les week-ends. Autrement dit, pendant les périodes où la plupart des salariés profitent de leur temps libre, les RSSI, eux, pensent à la sécurité de leur entreprise. La charge mentale est immense : une étude rapportée par Cyberun révèle même que 20% des RSSI sont en risque de burn-out. 

Alors finalement, la question n'est pas tellement de savoir s’il y a des postes dans la cybersécurité, mais plutôt de trouver le moyen de former et attirer les talents, et les retenir. 

Valoriser les métiers de la cyber ce sont des bénéfices immédiats pour l’entreprise 

 
Le début de la valorisation c'est la compréhension de l'autre, de son métier, ses enjeux, des objectifs qu'il s'est fixés... Ainsi communiquer avec un RSSI et ses équipes pour comprendre ce qu’ils font est indispensable. 

Ces profils techniques et souvent contraints à la vulgarisation, dont l'objectif est la protection d’une organisation, doivent être considérés et surtout, ménagés. La sécurité est une responsabilité importante et stressante qui ne laisse pas de place à la gestion des sujets de politique interne, et qui requiert des échanges directs avec les décideurs. Le soutien du COMEX, particulièrement dans un exercice de crise cyber est incontournable ! De manière générale, mieux vaut se savoir en danger que de se croire en sécurité. 

Le sujet de la cyber semble aride, complexe ? Il est néanmoins vital, au même titre que la comptabilité, par exemple. Un bilan comptable n’est pas glamour en apparence, cependant, comme la cyber sécurité, il est crucial pour la bonne gestion et la vie d'une organisation. Aucune entreprise ne ferait l’impasse sur son bilan annuel.
Pourquoi la cyber sécurité ne ferait-elle pas l’objet de la même considération ? En tout état de cause, cette légitimité doit venir d’en haut, afin de valoriser la rentabilité  de la cyber et mettre en évidence les risques aux yeux de tous. 

Ainsi, consacrer à la fois du budget et du temps pour bien comprendre les enjeux cyber garantit de mieux protéger l’organisation dans son ensemble pour : 

  • améliorer son attractivité, tant sur le plan business qu’en tant qu’employeur, 
  • affirmer son positionnement et sa réputation. 

Pour atteindre ces objectifs, les professionnels de la cyber doivent être valorisés en tant qu’experts de confiance capables de maîtriser leur feuille de route. 

Laisser les experts cyber choisir et prioriser  
 

On ne recrute pas un talent pour lui imposer des méthodes et des outils.  
Aussi, une organisation a besoin de définir un budget substantiel au service de la vision partagée d’un RSSI ou d’un SOC Manager, qui doit maîtriser les points suivants : 

  • la maturité cyber de l’organisation et de ses salariés  ; 
  • le contexte, les usages, les menaces...  ; 
  • les moyens dont dispose l'organisation pour faire face aux menaces ; les meilleures approches pour se protéger des attaques et minimiser le risque cyber ; 
  • les moyens de préparer et surmonter une crise. 

En somme, le RSSI ou le SOC Manager sont bel et bien les meilleures personnes pour définir la stratégie et la feuille de route cyber d’une structure, avec le soutien indéfectible des métiers ; et surtout, identifier les outils qui vont lui permettre de mener à bien sa mission en intégrant les contraintes réglementaires et politiques. 

Le rôle des éditeurs de solutions de cyber sécurité pour pousser et développer les vocations 
 

Dans un contexte où 1 million de nouvelles menaces de logiciels malveillants sont enregistrées par jour, et où les coûts mondiaux de la cyber sécurité vont augmenter de 15% par an (10 500 milliards de dollars par an d'ici 2025), les éditeurs de solutions de cyber sécurité ont un rôle central à jouer : soutenir le développement des vocations pour faire face à la pénurie de talents.  
 
Comment ? Outre les développements et les innovations en termes de détection et de remédiation face aux menaces, les éditeurs doivent véritablement se positionner au service des experts cyber pour leur faciliter le quotidien, leur permettre d‘atteindre leurs objectifs, et ainsi valoriser leur expertise vitale pour l’entreprise. 

Et non, cette pénurie de compétences ne va pas être résolue par l'IA. Dans le contexte d’une attaque, si la machine aide à identifier les risques, les décisions sont prises par des humains - « augmentés » le cas échéant.  
Ainsi, la vocation d’un éditeur est de proposer les outils qui vont aider les experts à concrétiser leurs plans en prenant les meilleures décisions, en environnement contraint par des ressources, un contexte métier, des risques cyber propres au secteur, des techniques et tactiques des attaquants... 

Mais où donc, dans un parcours de formation, les vocations peuvent-elles naître ? 

Cyber sécurité : une matière à valoriser dès le secondaire, et à approfondir tout au long d’une carrière 

Selon l'Observatoire des métiers de la cyber sécurité de l'ANSSI, seuls 62% des étudiants interrogés en 2022, toutes disciplines confondues, déclaraient connaître le secteur de la cyber sécurité. Hors informatique et cyber sécurité, ce chiffre tombe à 40%.

Dans le cas des étudiants hors école d'informatique ou cyber, la connaissance de ces métiers provient principalement des médias généralistes et de l'actualité, les séries TV et le cinéma. C’est un bon début même si le réalisme n’est pas toujours au rendez-vous. Et il est regrettable que la cyber sécurité, ou du moins les bases, ne soient pas enseignées dans les écoles qui ont pour ambition de former les dirigeants de demain.  

Enfin, au-delà de la formation initiale, pourquoi ne pas faire confiance à des autodidactes, en passant outre les diplômes et en dépassant la culture du Zero Trust ? Microsoft s’est prêtée au jeu avec succès, et c’est également le pari réussi que fait HarfangLab dans certains domaines. 
Aussi, pour faire face à cette pénurie de talents, pourquoi ne pas favoriser les reconversions et la mobilité interne, comme le fait BNP Paribas avec son académie interne ? 

Dans tous les cas, faire naître des vocations suppose d’avoir réussi à démontrer la valeur accordée aux talents cyber à l’échelle d’une organisation entière. Il est essentiel de leur assurer un avenir où ils pourront valoriser pleinement leur expertise, et disposer des moyens et des outils pour déployer leur feuille de route dans les meilleures conditions.