La pénurie des talents pour les métiers de cybersécurité
Temps de lecture : 6 minutes
Publié le 18 janvier 2021
Depuis plusieurs années, la cybersécurité, pourtant essentielle au bon fonctionnement d’une entreprise fait face à un manque de candidats et de compétences, bien que les métiers de la cybersécurité voient de plus en plus le jour. Un comble alors que ce secteur est porteur, et rémunérateur. Pourquoi un tel désamour ? Comment attirer et former les talents ? L’éclairage d’Arnaud Jumelet, National Security Officer chez Microsoft France.
Une image sombre d’un homme le visage dissimulé dans sa capuche, devant un ordinateur ou des lignes de code vertes à la Matrix… Il y a fort à parier que cette image sera la première à vous venir à l’esprit si on vous interroge sur la cybersécurité. Pas de quoi attirer les foules si on en croit les chiffres pointant la pénurie des compétences numériques. Un problème alors que la cybersécurité est un enjeu stratégique pour les chefs d’entreprise.
« On estime qu’il y a 5000 postes à pourvoir dès maintenant en cybersécurité en France, souligne Arnaud Jumelet, et 2 millions au niveau mondial. » Le secteur est pourtant très rémunérateur : un ingénieur cybersécurité sans expérience peut prétendre à un salaire de 40 K€ dès sa première année, et atteindre les 80 k€ au-delà de 8 années d’expérience. Alors, pourquoi une telle pénurie de talents ?
Lire aussi Former aux compétences numériques, un enjeu majeur pour l’emploi
Frein 1 : une image en décalage avec la réalité
Le secteur de la cybersécurité reste obscur pour une grande partie de la population. Trop technique, trop compliqué, trop solitaire… La caricature reste tenace ! « Il faut démystifier ce métier, très masculin dans sa représentation, abonde Arnaud Jumelet. Il faut sortir des images d’homme seul à capuche dans le noir devant un écran. Ces poncifs ne sont pas attrayants et ne permettent pas de se projeter dans les métiers de la cybersécurité. Ils ne sont pas représentatifs car en réalité, ces métiers sont plutôt des métiers de passion ! »
Curiosité intellectuelle pour comprendre comment la cybersécurité fonctionne, souci du bien commun, envie de protéger une entreprise… Voilà ce qui anime les acteurs du secteur, bien loin de l’idée du geek qui bidouille dans son coin ! Surtout : il n’y a pas un, mais bien des métiers de la cybersécurité.
Frein 2 : une méconnaissance de la pluralité des métiers en cybersécurité
C’est le nombre de métiers de la cybersécurité listés par l’Anssi dans son Panorama des métiers de la cybersécurité. 26, sans compter la dizaine de métiers connexes au secteur qui relèvent de la gestion du risque, de la data protection, du juridique, de la conformité, de la communication ou de l’évangélisation. Bref, la cybersécurité est un secteur qui recrute des profils extrêmement variés !
« Il y a une méconnaissance des métiers de la cybersécurité, qui peuvent être très différents, souligne Arnaud Jumelet. Si on prend le DPO (Data protection officer, qui traite de la conformité), c’est un métier qui demande une compétence double, à la fois technique et juridique. Cette fonction casse complètement l’image de la personne seule sur son ordinateur, car c’est un métier où il faut au contraire être en contact et échanger régulièrement avec d’autres collaborateurs. Finalement, la plupart des métiers de la cybersécurité requièrent beaucoup de communication et de pédagogie. Donc du lien social. »
Lire aussi Quels sont les métiers du futur ?
Frein 3 : une mixité inexistante
Si le secteur de la cybersécurité était réduit à une photo de classe de 20 élèves, on ne verrait que 5 femmes sur le cliché. Une étude du consortium (ISC)² publiée en 2020 souligne en effet que les femmes ne représentent que 25% des effectifs de la cybersécurité (23% en Europe). C’est peu, mais le gouffre se résorbe peu à peu. En 2017, la part des femmes stagnait à 11%…
Offrir plus de visibilité aux femmes de la cybersécurité et mettre en avant de nouveaux role model, c’est justement l’objectif de la WiCys (Women in Cybersecurity), une communauté de femmes travaillant dans le secteur qui cherche à faire évoluer les mentalités. En France, le Cercle des femmes de la cybersécurité a publié l’an dernier « Je ne porte pas de sweat à capuche, pourtant je travaille dans la cybersécurité », un guide des métiers, formations et opportunités dans la cybersécurité.
Quant aux femmes qui choisissent de faire carrière dans le secteur, elles doivent composer avec un écart de salaire en leur défaveur. Une étude dévoilée en janvier met en lumière le biais de genre dont souffrent les femmes en cybersécurité : aux Etats-Unis, elles sont payées 31% de moins que leurs homologues masculins ! Difficile d’attirer les talents dans ces conditions.
Lire aussi L’avenir de la tech ne se fera pas sans les femmes
Frein 4 : des cursus d’apprentissage longs
Une formation d’excellence en sécurité informatique s’opère généralement à un niveau bac +4/5. La cybersécurité implique de maîtriser de nombreuses compétences techniques comme les langages de programmation, les technologies des réseaux, les systèmes d’exploitation, la virtualisation, l’architecture Web, le Cloud… Former ces futurs experts est un processus long.
À tel point qu’aujourd’hui, certaines entreprises cherchent des moyens d’aller plus vite. « Certaines entreprises réfléchissent à créer en leur sein des écoles de cybersécurité. Elles recrutent de jeunes diplômés pour les former ensuite gratuitement à la cybersécurité en interne. L’idée est de rendre les étudiants rapidement aptes à intégrer le marché de l’emploi », note l’expert. Quitte à les recruter à bac+ 2 et à les former directement dans l’entreprise, plutôt que d’attendre la fin d’une formation de 5 années. « L’enjeu maintenant, ce sont les BTS », confirme Arnaud Jumelet.
Frein 5 : des formations trop centrées sur l’attaque
Pour l’expert, l’enjeu de la formation est plus vaste. Il s’agit non seulement d’acculturer plus tôt – dès le lycée – les élèves aux métiers de la cyber, mais aussi de changer d’approche. « Pendant longtemps en France, les formations ont mis l’accent sur l’attaque. On a formé des gens à trouver des vulnérabilités mais on s’arrêtait avant la partie solution. On n’a pas assez formé à la compréhension des attaques pour orchestrer un vrai plan de défense : quelles sont les actions correctrices qui vont me protéger contre des familles de failles ? Comment je fais évoluer ma posture de sécurité ? Quels sont mes plans d’action ? etc. Il est là le vrai besoin aujourd’hui. »
Dans cette optique, Microsoft intervient dans plusieurs grandes écoles (ECE Paris, EPITA, EPITECH, EFREI Paris) pour former les étudiants à la cybersécurité en environnement Microsoft. Avec une approche résolument tournée vers la pratique, pour rendre les étudiants opérationnels et les aider à s’intégrer plus vite sur le marché du travail. « On propose une vingtaine d’heures de vidéos d’experts, sous forme de MOOC, beaucoup de documentation Microsoft et 18 exercices différents pour faire monter les étudiants en compétences sur la sécurité des postes de travail Windows 10, la sécurité de l’annuaire Active Directory et la partie cloud Azure AD. »
Une manière de doper leur employabilité : toutes les entreprises françaises ou presque disposent d’outils Microsoft et ces futurs experts seront amenés à protéger et configurer le parc existant. Mais aussi de les rendre plus volontaires dans leur approche. « Nous avons par exemple un exercice de fusion de deux annuaires AD. L’enjeu n’est pas uniquement d’identifier les failles de sécurité. Ce qui nous intéresse aussi, ce sont leurs recommandations pour améliorer la sécurité et le système. On les aide à développer une posture de consultant, pour savoir comment exposer leur approche et leurs idées de solutions. »
Lire aussi EFREI Paris : Des certifications pour former aux métiers du cloud, de l’IA et de la cybersécurité
Apprendre à apprendre, un enjeu fort en cybersécurité
La sécurité est un travail constant qui suppose d’intégrer régulièrement de nouvelles connaissances. « On ne peut pas se dire « j’ai fait ça, c’est bon je suis tranquille », pointe Arnaud Jumelet. C’est un entraînement permanent, comme un sportif : si on ne manipule pas certains concepts pendant 2–3 mois, on perd vite. C’est un travail quotidien qui doit être fait en continu. »
Crédit photo : scyther5 / iStock
