Recherche ingénieurs cybersécurité désespérément

La cybercriminalité a considérablement augmenté depuis 2020. Les cyberattaques se multiplient, y compris dans les petites entreprises. Mais la formation d’experts en cybersécurité n’a pas suivi et les compétences en sécurité informatique manquent cruellement au regard des besoins. En cause : de nombreux freins culturels.

Une pénurie de compétences en cybersécurité dans le monde 

Plus de 15 000 postes à pourvoir

Déjà en 2017, une étude de Cybersecurity Ventures, un cabinet d’études américain spécialisé en cybersécurité, prédisait une pénurie mondiale de 3,5 millions d’experts en cybersécurité en 2022 ! 

En Europe, le manque d’experts en cybersécurité a été estimé à 350 000 travailleurs en 2022. En France, difficile d’avoir des chiffres fiables : certaines études parlent de 5 000 postes actuellement non pourvus dans le domaine. Une étude du cabinet de conseil Wavestone évoque, quant à elle, plus de 15 000 postes de spécialistes en cybersécurité ouverts et non occupés.

Des salaires pourtant très élevés

Les entreprises n’hésitent pourtant pas à proposer des salaires très attractifs. En France, le salaire moyen des spécialistes en cybersécurité serait ainsi 2,6 fois plus élevé que celui de la moyenne des pays de l’OCDE (Organisation de Coopération et de Développement Economiques). Ils gagneraient en moyenne plus de 80 000 euros par an.

Les métiers de la cybersécurité recherchés

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a établi une liste détaillée des métiers de la cybersécurité :

• Administrateur sécurité

• Analyste de la menace

• Analyste SOC (Security Operation Center)

• Architecte sécurité

• Chef de projet sécurité

• Consultant sécurité « organisationnel »

• Consultant sécurité « technique »

• Correspondant sécurité

• Cryptologue

• DPD (Délégué à la Protection des Données)

• Développeur sécurité

• Évaluateur sécurité

• Expert réponse à incident

• Intégrateur de sécurité

• Juriste spécialisé en cybersécurité

• Responsable de la sécurité des systèmes d'information

• Responsable du PCA (Plan de Continuité d’Activité)

• Spécialiste en gestion de crise cyber

• Technicien sécurité

Les entreprises recherchent aussi des formateurs et communicants spécialisés en sécurité informatique.

Croissance de la cybercriminalité en 2022 

Cette pénurie de personnel qualifié est très préjudiciable dans un contexte de fort besoin. En effet, on assiste depuis plusieurs années à une multiplication des attaques cyber. Ainsi 91 % des entreprises françaises ont subi ou subissent une cyberattaque, souvent sans le savoir. 

Les cybermenaces sont, non seulement, de plus en plus variées, mais aussi de plus en plus sophistiquées :

• Attaques par phishing (hameçonnage)

• Ransomwares (rançongiciels)

• Attaques DDoS (Distributed Denial of Service) ou déni de service distribué

• Etc.

Les conséquences d’une cyberattaque peuvent être dramatiques pour une entreprise. 80 % des entreprises ayant subi une cyberattaque ferment leurs portes un an après.

C’est pourquoi trouver des compétences en cybersécurité est vital.

Les raisons du manque d’ingénieurs cybersécurité

1) Une image poussiéreuse en décalage avec la réalité

L’image du geek, seul derrière ses deux écrans remplis de lignes de code, persiste. Le secteur de la sécurité informatique reste obscur pour la majorité de la population : il n’est pas très attractif. 

La langue cyber peine à communiquer les aspects captivants de sa recherche universitaire, l’intérêt de ses défis techniques, ainsi que le caractère hautement relationnel de ses professions.

Cabinet PwC (PricewaterhouseCoopers)

2) Des formations longues réservées à une élite

Pour former un expert en cybersécurité, il faut au minimum 4 ans d’enseignement supérieur. La formation implique de maîtriser de nombreux domaines de compétences :

• Langages de programmation

• Technologies des réseaux

• Systèmes d’exploitation

• Virtualisation

• Architecture web

• Big data

• Cloud

• Etc.

 De plus, il faut trouver les professeurs spécialistes pour former ces personnes ! 

Afin de limiter la prolifération d’écoles de mauvaise qualité qui formeraient seulement de manière partielle des spécialistes, l’ANSSI vient de créer une certification SecNumédi afin de labelliser les établissements d’enseignement supérieur dispensant une formation exigeante en cybersécurité. 

Ce label est un critère de choix important pour les étudiants en informatique qui veulent choisir une formation en cybersécurité. 

3) Des recruteurs non spécialisés

Recruter des spécialistes en cybersécurité est aussi un challenge pour des recruteurs qui ne connaissent pas les exigences techniques nécessaires.

De plus, les soft skills sont très importantes pour ce métier : éthique et créativité sont nécessaires. Selon PwC, le responsable cybersécurité « doit aimer résoudre des problèmes complexes, se mettre dans la peau des cyberdélinquants sans franchir la ligne rouge et créer un climat de confiance autour de lui dans un environnement constamment sous tension. »

4) Une mixité inexistante

D’après une étude de l’International Information Systems Security Certification Consortium, les femmes ne représentent que 11 % des effectifs dans la cybersécurité. Ce qui n’est pas très étonnant au vu de la proportion faible de femmes occupant un poste dans le numérique en général, soit 23 % seulement.

Il s’agit encore une fois de casser l’image du geek véhiculé par les films et les séries télé.  

5) Un manque de connaissance de la profession 

Il y a une acculturation nécessaire de la population française sur les sujets de cybersécurité. La cybersécurité est un secteur nouveau issu du boom digital. Chez les utilisateurs, il faut mener un immense effort de sensibilisation aux risques informatiques.

Il est nécessaire de sensibiliser la population sur l’importance de la sécurité informatique. En fait, les gens ne connaissent pas les métiers de la cybersécurité. Face à ce constat, rien d’étonnant à ce qu’ils ne se dirigent pas vers ces derniers.

6) Un chômage inexistant et un turn-over élevé

Autres freins importants révélés par le rapport Benchmarking Workforce Capacity and Response to Cyber Risk : le chômage quasi inexistant pour les métiers du numérique et un fort turn-over du personnel, notamment parmi les jeunes générations. Ces freins n’incitent pas les entreprises à investir dans la formation de cyberspécialistes.

Cela représente également un casse-tête chinois pour les employeurs potentiels quant à la manière de recruter et de retenir les talents dans un tel environnement défavorable au recrutement.

Une sensibilisation et des formations à mettre en place 

L’urgence est donc de sensibiliser à la cybersécurité, de mieux faire connaître la profession et de former les talents de demain. Il revient donc à l’Etat, aux écoles et aux entreprises de sensibiliser de manière générale la population, de former les jeunes et les personnes en reconversion.

Les entreprises ne peuvent pas non plus ignorer leur rôle capital dans la formation de travailleurs spécialisés en sécurité informatique, et ensuite d’attirer et conserver les talents par des conditions de travail avantageuses.

Création de campus cyber à Paris et en régions

 Au niveau étatique, un Campus Cyber a ouvert ses portes en 2022 à Paris-La Défense à l’initiative du président de la République. Ce lieu rassemble une centaine d’acteurs de la cybersécurité au niveau national : des entreprises (grands groupes et PME), des acteurs publics, des organismes de formation, des instituts de recherche et des associations.

Les rôles du Campus Cyber sont de : 

• Favoriser le partage d’informations et de données pour renforcer la capacité de chacun à maitriser le risque numérique (détection, capacités de veille, réponse aux incidents, mise en commun de la connaissance sur la menace)

• Soutenir la formation initiale et continue des différents publics (agents de l’État, salarié(e)s, étudiant (e)s, personnes en reconversion, etc.) afin de favoriser une montée en compétence globale

• Développer les partenariats entre acteurs publics et privés (industriels, start-up et centres de recherche) pour orienter l’innovation technologique vers des applications concrètes

• Proposer un lieu ouvert et vivant qui propose des événements favorisant les échanges (conférence, webinaires, showroom, jobdating, etc.)

 Des déclinaisons du Campus Cyber sont prévues en région.

Microsoft met en place le Plan Compétences Cybersécurité

Du côté des entreprises, Microsoft a lancé en juin 2022 le Plan Compétences Cybersécurité. Ce plan comprend notamment la création d’une école de formation à la cybersécurité pour les demandeurs d’emploi : Cyber Microsoft by Simplon, créée en partenariat avec Simplon, l’école inclusive qui forme aux métiers du numérique.

Cette école formera des personnes affichant déjà un niveau de bac +2 à bac +4. Le diplôme délivré est un titre RNCP (Répertoire National des Certifications Professionnelles) de niveau 6 en qualité d’administrateur infrastructures sécurisées. La formation se déroulera sur trois mois de cours intensif sous forme de bootcamp et 15 mois en alternance.

Microsoft a également mis en place le Cybersecurity Institute, avec son partenaire cybersécurité Advens, qui aide les spécialistes en cybersécurité déjà en poste, à monter en compétences.

Les initiatives, à la fois publiques et privées, voient le jour afin de pallier cette pénurie de talents en cybersécurité.

Consulter nos offres d’emploi en cybersécurité

Consulter le forum Free-Work sur les sujets cybersécurité

Autres articles à lire sur la cybersécurité :

• Campus Cyber : une opportunité majeure pour les professionnels de l’IT

• Sécurité réseau : 5 bonnes pratiques à mettre en place

• Guerre en Ukraine : les impacts sur le secteur IT