Cybersécurité : 1 million d'emplois, vraiment ?

La progression des menaces et vulnérabilités est telle, selon le rapport sécurité 2014 de Cisco, qu'il manquerait déjà à l'appel un million de professionnels de la sécurité dans le monde. Encore faut-il préciser de quels professionnels il s'agit. Du data scientist, désormais indispensable aux entreprises, selon Cisco, pour tirer profit de la masse d'informations issue de leur arsenal défensif, jusqu'aux profils plus classiques de RSSI (responsable sécurité), de responsable du plan de continuité d'activité (RPCA), d'architecte ou ingénieur sécurité, de « pro » de l'intrusion, de développeur/paramétreur d'outils, de techniciens support. La difficulté à pourvoir ces postes dits vacants diffère selon le profil. Sans parler des possibilités de parer au problème, d'une part en inculquant chez les développeurs la culture du développement sécurisé, d'autre part en préparant les métiers utilisateurs à réagir aux cyber-menaces.

Car « sensibiliser ne suffit plus », insiste le rapport publié par le club Cesin et le cabinet Provadys après enquête auprès de 140 responsables sécurité. Ce ne sont pas les outils de détection et de protection qui manquent, ni le recours aux tests d'intrusion qui fait défaut. Mais huit entreprises sur dix – même parmi les plus blindées – n'ont pas d'équipe dédiée à la prise en charge de cyber-attaque. Un risque « passé du statut de possibilité technique à la quasi-certitude statistique », rappelle Luc Delpha, directeur du département sécurité IT de Provadys.

Pour les acteurs de premier plan de ce domaine, tel Thalès, la cause est entendue : le plus haut d'abord. Et d'organiser avec le cabinet Civipol des sessions de formation pour les dirigeants (de cinq à neuf jours répartis sur quatre mois) les préparant à la conduite de cellule de cyber-crise. Avec, a priori, une clientèle toute trouvée auprès des quelque 230 opérateurs d'importance vitale (OIV) désignés par l'Etat dans douze secteurs (défense, énergie, transports, santé, etc) qui ont pour obligation de former leurs responsables et de mettre sur pied des plans de protection.

Un paysage en forte évolution

Cette initiative – parmi d'autres – revient en quelque sorte à souligner que le paysage de la cyber-sécurité est entré dans une phase de forte évolution. « Finie la sécurité gadget, considérée comme une contrainte sans valeur apportée à l'entreprise, en conséquence contournable, voire volontairement évitée », avance Loïc Guezo, directeur-expert pour l'Europe du sud de Trend Micro. « L'omniprésence du numérique et l'amplification des risques obligent les entreprises à adopter une approche à la fois plus globale, au sens de stratégique, et beaucoup plus fine que la seule surveillance des réseaux», souligne Jean-Noël de Galzain, président du club Hexatrust et de la société Wallix. Une mutation que met par ailleurs en évidence la montée de la demande en compétences dédiées et néanmoins très hétérogènes. Comme en témoignent les embauches de l'agence nationale (Anssi) qui, comme les grandes administrations et les grands groupes industriels, est en train de constituer son bataillon d'experts.

« Les compteurs de l'Anssi, en postes ouverts et en stages, ne désemplissent pas », remarque Jean-Noël de Galzain. Et le constat vaut pour la sphère des grandes multinationales. «La discipline est désormais structurée au sein des entreprises, sur fond d'obligations légales et de normes et références sectorielles. Avec l'interconnexion massive des réseaux, la multitude des canaux d'accès aux SI, l'introduction rapide et permanente de technologies, l'enjeu de sécurité et de continuité d'activité est devenu majeur. La difficulté pour les DRH reste de trouver un parcours viable pour les missions transversales et plutôt atypiques qu'exercent les RSSI ou les RPCA », explique Loïc Guézo,  En complément de ces missions d'organisation et de contrôle, le pli est pris dans les grandes structures de déléguer les tâches opérationnelles et l'exécution de projets aux prestataires spécialisés (Managed Security Services 24/7) qui ont du mal à trouver leur compte avec les flux sortants des cursus de formation initiale. Sans compter que « la sécurité nécessite souvent des profils extrêmes : expérimentés mais polyvalents, très bien formés techniquement mais aptes à travailler en équipe », ajoute Loïc Guézio.

Montée de l'offre de formation continue

Les quelque établissements (grandes écoles et universités) déjà sur le créneau ne s'y trompent pas, poussant les feux d'une part sur l'offre de formation continue, d'autre part sur les compléments de formation sécurité glissés dans leur cursus ingénieurs. Sans gonfler pour autant les « promos » 100% dédiées sécurité IT. Ce qui, de l'avis des employeurs concernés, n'est pas un mauvais calcul.

 «Personne ne conteste la montée de l'enjeu sécurité et des besoins en personnel qualifié. Mais attention à la surenchère », estime Jean-Noël de Galzain. De là à l'estimer à un million d'emplois dédiés ? «On sait déjà que le numérique et la composante sécurité sont et seront omniprésentes dans la vie des entreprises et de la société. Le défi est plutôt d'intégrer cette composante sécurité très tôt dans les études, pas seulement pour ceux qui vont jusqu'à bac+5, pour les cursus de techniciens et pour ceux qui mènent à des postes plus fonctionnels », ajoute ce dirigeant. L'autre défi, compte tenu de la course incessante que constitue l'adaptation aux nouvelles menaces, étant d'adosser cette extension de l'offre de formation aux activités de recherche.

A Troyes, l'UTT vient de lancer (annonce faite lors du FIC 2014) le Cecyf (centre expert contre la cybercriminalité) en tant qu'espace d'échanges, de projets collaboratifs, de valorisation des métiers et de la recherche dans ce domaine. Histoire de donner plus de corps et d'ouverture à l'ensemble des initiatives de collaboration et de formation déjà engagées sur son campus: aussi bien avec la gendarmerie nationale (licence d'enquêteur technologies numériques) qu'avec les entreprises (modules de formation ad hoc, conçus confidentiellement avec les entreprises pour la mise en place de dispositifs de prévention et d'évaluation des risques), ou encore en formation initiale de niveau bac+5 (master sécurité SSI).

A l'Epita, de même, l'offre de formation continue SecureSphere (autre annonce du FIC 2014) validée par l'Anssi, décline, sous forme d'ateliers, de cours, de « démo » y compris sur le site de l'entreprise concernée, un programme sur-mesure (d'une heure à plusieurs journées). Dans l'optique d'allier les approches techniques, juridiques, managériales et comportementales, en s'adressant de façon adaptée, autant aux cadres dirigeants qu'aux experts métiers ou à l'ensemble du personnel, selon les besoins, les acquis et l'organisation hiérarchique de l'entreprise.

Des profils experts s'adaptant aux logiques métiers

Quels sont précisément ces besoins ? « Au delà du RSSI, fonction à laquelle s'intéressent maintenant les entreprises de taille moyenne, il est besoin de responsables de l'organisation de la sécurité au sein des métiers, des ingénieurs développeurs créatifs, des spécialistes de haut niveau », décrit Jean-Noël de Galzain. « Après avoir privilégié le double cursus technique ou organisationnel, on voit aujourd'hui un retour en grâce des profils techniques avancés, cyber-défense, lutte anti APT, analyste MSS sur incidents. Ceci ne doit pas masquer le besoin maintenant établi de développeurs, d'ingénieurs avant-vente, d'architectes sécurité, de consultants organisationnels. Ou encore d'auditeurs, futurs RSSI dont la tâche principale restera la compréhension des risques et l'orchestration de la réponse, avec en premier lieu la sensibilisation », détaille Loïc Guezo. Autant de postes qui, jusqu'à présent, étaient généralement ouverts aux jeunes ingénieurs issus de spécialisations réseaux et télécom, avec une coloration ou une composante sécurité, sans que l'offre couvre la demande. La demande de renfort la plus manifeste portant sur les profils experts  : « pentester, intégrateur crypto, architectes ou plus largement des profils d’analyse de la menace et investigation numérique », selon David Majorel, cadre senior de la division Systèmes d’Information du cabinet Michael Page.

Une part non négligeable de ces postes émane des sociétés spécialisées, non seulement prestataires de services mais aussi fournisseurs de technologies. Telles celles ralliées au club Hexatrust (effectif de 20 à 200 personnes « dont 30% travaillant à l'export », précise Jean-Noël de Galzain). Leurs embauches ? « Des ingénieurs de développement, des ingénieurs de test qualité, des profils marketing et technico-commercial capables de mettre des systèmes complexes à la portée du client en s'adaptant à la logique métier de celui-ci de même que les ingénieurs et techniciens support qui interviennent chez le client sur la base d'une bonne connaissance des systèmes, des réseaux et même des applications », précise le dirigeant. Pour Wallix, effectif actuel de 45 personnes, dix embauches sont prévues pour 2014. Sans compter l'accueil de stagiaires, étudiants en fin de cursus. Les sources de candidats de référence pour ces sociétés ? « Avec une certaine forme de cynisme, je dirais, aujourd'hui – "forcément chez la concurrence" –  dans la mesure où le marché de la sécurité reste un cercle où trop peu d'acteurs évoluent. Les nouvelles formations apporteront dans quelques années les candidats qui manquent aujourd'hui », conclut Loïc Guezo. L'espoir fait vivre.