La cybersécurité fait face à une pénurie de talents constante

Alors que les entreprises et les administrations françaises prennent conscience de l’enjeu de la cybersécurité, plus de 5 000 postes sont actuellement à pourvoir dans ce domaine dans l’Hexagone.

De nouvelles formations se mettent en place, certes, mais cela ne semble pas suffire.

Le même refrain se répète d’année en année : les experts en cybersécurité sont en nombre insuffisant au regard des besoins des entreprises. Conscientes de ce manque à combler, les écoles d’ingénieurs s’emploient à rendre cette filière plus attractive en communiquant davantage sur les métiers de la sécurité informatique, leur enjeu et leur enseignement. La tâche est cependant loin d’être simple car aujourd’hui encore, et en dépit d’excellentes initiatives, de nombreux facteurs concourent à entretenir une pénurie de vocations.

Ingénieur spécialiste en cybersécurité est un métier d’avenir, cela ne fait aucun doute. En France, le nombre d’offres d’emploi est largement supérieur à la quantité de professionnels disponibles sur le marché de l’emploi. Pourquoi ce secteur peine-t-il autant à attirer et à former des experts ?

Frein 1 : une image sectorielle poussiéreuse en décalage avec la réalité

La première entrave aux vocations est la nature même du secteur : il reste obscur pour une grande partie de la population qui, trop souvent, et à tort, n’en perçoit que les aspects les plus caricaturaux : des informaticiens aux aguets devant un mur d’écrans surveillant le défilement de lignes de code dans un désert relationnel total. Rien n’est plus faux, mais cette image persiste.

Par ailleurs, les interventions médiatiques des experts en cybersécurité sont incompréhensibles pour les non-spécialistes. La « langue cyber » peine à communiquer les aspects captivants de sa recherche universitaire, l’intérêt de ses défis techniques, ainsi que le caractère hautement relationnel de ses professions. En cela, il n’est pas étonnant que les vocations manquent comparativement au domaine médical qui enregistre, quant à lui, toujours autant de candidats même si un numerus clausus freine fortement l’accès à ces professions. Simplifier les messages, dynamiser les prises de parole, intervenir davantage dans les médias, séminaires et centres de formation sera nécessaire pour que les talents perçoivent avec plus de justesse la nature réelle de ce secteur ambitieux et moderne.

Frein 2 : des cursus d’apprentissage trop longs réservés à une élite scientifique

Une formation d’excellence en sécurité informatique ne peut être envisageable qu’après quatre ans d’études supérieures puisqu’elle implique obligatoirement de maîtriser de nombreuses compétences techniques comme les langages de programmation, technologies des réseaux, systèmes d’exploitation, virtualisation, architecture Web, Big Data, Cloud… Former des experts qui seront les garants de notre sécurité sur le Net est un processus long impossible à écourter sans nuire à la qualité de l’enseignement dispensé. De plus, trouver des professeurs possédant l’expérience pratique suffisante pour concevoir des travaux dirigés n’est pas une tâche facile.

Manque d’hommes ? De temps ? De programmes de formation établis ? D’expérience générale en la matière ? C’est un fait. Et nous devons l’accepter.

Se précipiter ou former partiellement les futurs protecteurs des systèmes informatiques qui règleront et dérègleront le fonctionnement de nos sociétés n’est pas une solution. Pour limiter ces mauvaises pratiques et valoriser les formations d’excellence, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de créer une certification SecNumédi afin de labelliser les établissements d’enseignement supérieur dispensant une formation exigeante en cybersécurité.

Frein 3 : des recruteurs non spécialisés aux commandes

Recruter des ingénieurs en cybersécurité est un défi de taille pour des chasseurs de tête pas forcément familiers avec la technicité de ce poste clé. Ce type de profil est d’autant plus difficile à trouver que chaque entreprise a ses propres priorités et enjeux : identifier un professionnel ayant un bagage technique large et polyvalent pour comprendre des problématiques et langages variés est de mise.

« 45% des entreprises indiquent qu'elles peinent à pourvoir les postes ouverts en cybersécurité. »

Christophe Auberger, directeur technique, Fortinet

Au-delà de ces critères de sélection théorico-pratiques, les compétences humaines – plus communément appelées soft skills – sont à prendre en compte, peut-être encore plus que pour les autres métiers liés à l’informatique. Un spécialiste de la cybersécurité doit être éthique et créatif. Il doit aimer résoudre des problèmes complexes, se mettre dans la peau des cyberdélinquants sans franchir la ligne rouge et créer un climat de confiance autour de lui dans un environnement constamment sous tension.

« Le recrutement des meilleurs talents en sécurité est devenu très complexe. 45 % des entreprises indiquent qu’elles peinent à pourvoir les postes ouverts dans cette discipline. La problématique devrait d’ailleurs s’accentuer : aujourd’hui, ce sont plus d’un million de postes de professionnels de la sécurité, à l’échelle mondiale, qui sont vacants et ce chiffre devrait bondir à 3,5 millions d’ici 2021. »

Christophe Auberger, directeur technique, Fortinet

Cette pénurie de compétences pèse lourdement sur les entreprises. Elle induit davantage de travail pour les équipes existantes, implique de consacrer plus de temps à former des juniors par manque de profils expérimentés, et aboutit à une sécurité qui se contente, pour l’essentiel, d’être réactive. Pour plus d’efficacité, pas le choix, cela doit changer.

Frein 4 : une mixité inexistante

D’après une nouvelle étude de l’International Information Systems Security Certification Consortium, les femmes ne représentent que 11 % des effectifs dans la cybersécurité. Parmi les causes de ce désamour mises en avant, les stéréotypes occupent une place importante. Une femme interrogée sur trois associe les professionnels de la sécurité informatique à des « geeks ».

Fatiha Gas, directrice du campus de Paris de l’Ecole supérieure d’informatique (ESIEA), déclare que ces clichés absurdes sont en partie véhiculés par les séries télévisées américaines et nourrissent injustement l’imaginaire du grand public. « Conséquence : le secteur de la cybersécurité – et du numérique en général – manque encore de figure féminine médiatisée. »

Féminiser les professions de la cybersécurité est un impératif qui obéit à un besoin d’évolution sociale en général et au constat suivant : les femmes qui exercent ces métiers y obtiennent des résultats souvent meilleurs. Elles sont plus innovantes et possèdent très tôt des compétences verbales et relationnelles plus aiguisées qui leur permettent de mener des audits avec d’excellents résultats.

Frein 5 : un manque de reconnaissance de la profession

Pour attirer davantage les étudiants dans ce domaine porteur, les entreprises n’hésitent pas à proposer des salaires très attrayants. En France, le salaire des spécialistes en cybersécurité serait ainsi 2,6 fois plus élevé que la moyenne dans les pays de l’OCDE (soit plus de 80 000 euros selon ce même organisme).

« Nous devons sensibiliser la population à l’importance de la cybersécurité et ainsi créer une culture de sûreté numérique en France. »

Philippe Trouchaud, Associé Cyber Intelligence, PwC France

Mais cela ne suffit pas. Pour Philippe Trouchaud, associé Cyber Intelligence chez PwC, « le problème n’est pas financier, il est culturel. » Il explique : « la cybersécurité est un secteur nouveau issu du boom digital. Finalement aujourd’hui, très peu de personnes connaissent les tenants et les aboutissants de cette industrie. Du côté des utilisateurs, il y a encore un immense effort de compréhension des risques cyber à faire. Nous devons sensibiliser davantage la population à l’importance de protéger les systèmes informatiques et ainsi créer une culture de sûreté numérique dans l’Hexagone. » L’idée est simple : si une personne ignore qu’une profession existe, il ne l’exercera pas.

Faire mieux connaître la profession, voilà l’urgence pour les professionnels du secteur. Il revient donc aux écoles et aux recruteurs d’attirer, de former puis de recruter et de retenir les talents de demain. Valérie Vézinhet, directrice des ressources humaines chez PwC, avise : « proposer des rémunérations compétitives, des plans de carrière et autres avantages reste critique mais ne suffira pas. Nous devons réinventer la relation avec ces collaborateurs, en nous appuyant sur la technologie pour passer du temps sur l'essentiel : valoriser leur travail et leur apporter ici ce qu’ils ne trouveront nulle part ailleurs, un sens à leur action, un management éthique, transparent et horizontal favorisant la prise d’initiative personnelle au profit d’un collectif. »

La technologie est de plus en plus intégrée à nos vies, et ces connexions engendrent des cyberrisques nouveaux ou différents. A mesure que les organisations investissent dans les solutions numériques afin de répondre aux exigences des consommateurs et des citoyens, les secteurs privé et public doivent également investir dans l’amélioration des mesures de cyberprotection. Cet investissement doit notamment soutenir la formation de professionnels en cybersécurité pour mettre fin à la pénurie.

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

Contactez-nous

Agnès Hussherr

Clients, Market & Innovation Managing Partner, PwC France

Tel : +33 1 56 57 85 48

Philippe Trouchaud

Associé Cybersécurité, PwC France

Tel : +33 1 56 57 82 48

Suivez-nous !