Thématique 
Cybersécurité 
Date
05 octobre 2017

Richard REY, enseignant-chercheur de l’ESIEA a publié une tribune dans Les Échos qui explique pourquoi le marché actuel souffre d’un véritable déficit de compétences en cybersécurité.

On ne cesse de répéter que les experts en cybersécurité sont aujourd’hui en nombre insuffisant au regard des besoins des entreprises. Attentives à cette tension, les écoles d’ingénieurs telles que l’ESIEA s’emploient à faire mieux connaître les métiers de la sécurité informatique et leur enseignement. La tâche est cependant loin d’être simple car aujourd’hui encore, et en dépit d’excellentes initiatives, de nombreux facteurs concourent à entretenir une pénurie de vocations.

 

Le nombre de piratages et la complexité des réglementations allant croissant, toujours plus d’entreprises cherchent à embaucher des experts en cybersécurité parfaitement formés. Malheureusement, ils sont encore trop peu nombreux pour satisfaire la demande. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), seuls 1200 des 6000 postes ouverts en 2016 auraient été pourvus.

Des études longues et une élite rapidement absorbée par le marché

Rappelons qu’une formation pointue en sécurité informatique ne peut être entamée avant quatre années d’études supérieures puisqu’elle implique de maîtriser déjà plusieurs langages de programmation, de s’y connaître en architecture web, en technologies des réseaux, en systèmes d’exploitation (Linux, Windows, Android, MacOS), ainsi qu’en virtualisation, en Big data, Cloud, etc. Former des experts est un processus long que l’on ne peut accélérer sans nuire à la qualité de l’enseignement dispensé sachant qu’il est par ailleurs difficile de recruter des enseignants en cybersécurité possédant une expérience pratique suffisante pour concevoir et conduire des travaux dirigés avec les étudiants, (même s’ils possèdent un excellent niveau théorique). Aussi n’est-ce pas sans raisons que l’ANSSI a jugé utile de créer une certification SecNumédu[1] afin de labelliser les établissements d’enseignement supérieur dispensant une formation en cybersécurité exigeante. Les ingénieurs diplômés en sécurité informatique (Bac+5 à Bac+6) représentent donc aujourd’hui une élite, rapidement absorbée par le marché.

La longueur des études n’est cependant pas seule en cause et ne suffit pas à expliquer une insuffisance en diplômés : le manque de vocations entre également en jeu. En effet, en dépit d’une demande forte, il n’y a pas aujourd’hui d’engouement massif pour les professions liées à la cybersécurité de la part des futurs ingénieurs.

L’ESIEA confirmée dans son expertise cybersécurité par l’ANSSI par deux certifications SecNumEdu

La cybersécurité est un domaine  en mal d’image

La première entrave aux vocations est la nature même du secteur : il reste obscur au public, lequel n’en perçoit, au mieux, que les aspects les plus caricaturaux : un geek affalé devant un mur d’écrans, surveillant le défilement de lignes de code dans un désert relationnel total. Rien n’est plus faux, mais l’image persiste, relayée par les séries télévisées et le cinéma en général. Loin d’encourager les vocations, cette figure repousse les jeunes gens en quête d’un métier épanouissant.

Par ailleurs, les échanges entre les experts en cybersécurité sont un peu de la même nature qu’entre collègues chirurgiens… ils sont incompréhensibles au non initié et ne franchissent pas les barrières de la presse spécialisée. Les termes et expressions  de la sécurité informatique qui parviennent aux jeunes gens entretiennent son image geek ou bien mettent à mal son sérieux (machine zombie, homme au milieu, honey pot, killer app, etc.) La « langue cyber » peine à communiquer les aspects captivants de sa recherche universitaire, l’intérêt de ses défis techniques, ainsi que le caractère hautement relationnel de ses professions. En cela, il n’est pas étonnant que les vocations manquent comparativement au domaine médical, qui enregistre quant à lui toujours autant de candidats même si un numerus clausus freine fortement l’accès à ses professions.

Pour les lycéens et lycéennes en quête de vocation, il est très difficile d’avoir un  aperçu lisible des métiers associés à la sécurité de l’information. Ce n’est que très récemment  que l’ANSSI, avec un groupe de travail composé de représentants de l’enseignement supérieur et du monde industriel, a proposé de structurer les métiers de la cybersécurité autour de 16 profils[2].  Expert en gestion de crise, Juriste spécialisé, Expert connexe, Intégrateur, Consultant, etc. Cette excellente initiative permet aujourd’hui d’avoir une meilleure visibilité des professions et d’espérer un changement dans le regard porté sur celles-ci.

Une mixité qui tarde à devenir réalité

L’autre écueil quant à l’image de la cybersécurité est sa faible féminisation qui concourt au manque en vocations. Les écoles d’ingénieurs en dépit de leurs efforts constants, ne peuvent à elles seules, faire tomber les barrières culturelles qui persistent. Cette faible présence des femmes dans les promotions (moins de 20% d’étudiantes – alors qu’elles sont majoritaires parmi les bacheliers) est hautement regrettable.Richard Rey, Enseignant-chercheur en Sécurité de l’Information, ESIEA – École d’ingénieurs du monde numérique

Féminiser les professions de la cybersécurité est un impératif qui obéit à un besoin  d’évolution sociale en général, mais aussi à un constat : les femmes qui exercent dans ses métiers y obtiennent des résultats souvent meilleurs. Elles sont plus innovantes et possèdent très tôt des compétences verbales et relationnelles plus aiguisées qui leur permettent de mener des audits avec d’excellents résultats (au point qu’il n’est pas rare qu’elles devancent les techniciens dans leurs conclusions et les aiguillent vers les points à vérifier). Elles inspirent également une plus grande confiance à des clients parfois réticents à l’idée d’ « ouvrir » l’intégralité de leur système d’information à un prestataire extérieur ; enfin, elles tendent aussi à rester en poste plutôt qu’à changer d’entreprise tous les cinq ans (la mobilité encouragée par le message des recruteurs convient mal aux métiers de la cybersécurité, basés sur la confiance). En bref, elles réunissent les qualités les plus recherchées actuellement par les entreprises.

La cybersécurité est une vaste culture et ses métiers sont bien différents de l’image qu’on leur associe.

D’une certaine façon, il est possible de comparer le domaine à celui de la médecine car les deux secteurs, qu’au premier abord tout oppose dans l’imaginaire, possèdent bien des points communs : ils font appel aux mêmes capacités d’écoute, de diagnostic et de réflexion ; les études y sont longues, le domaine est passionnant et les spécialisations multiples mettent en jeu une forme de « soin » apporté. On serait ainsi presque en droit d’attendre un report d’intérêt des déçus et déçues des PACES sur ces professions variées mettant en jeu des attentes proches en termes de confiance dans les relations humaines. Il reste que la cybersécurité a aujourd’hui et ce, plus que jamais, besoin d’une nouvelle image.

 

[1] https://www.ssi.gouv.fr/particulier/formations/secnumedu/

[2] https://www.ssi.gouv.fr/particulier/formations/profils-metiers-de-la-cybersecurite/

 

Tribune publiée par Les Échos consultable ici https://solutions.lesechos.fr/tech/c/manque-competences-cybersecurite-7116/