Cybersécurité : sortir de l'impasse de la pénurie des talents

Si le phénomène de pénurie en compétences informatiques n'est pas nouveau, c'est dans le domaine de la cybersécurité que le manque de professionnels qualifiés se fait le plus ressentir : à l'échelle européenne, il est estimé qu'il manquera 350 000 experts en cybersécurité d'ici 2022. D'ailleurs, seulement 1 200 des 6 000 postes ouverts en 2017 en France ont été pourvus.

Le problème est d'autant plus pressant que les niveaux de menace sont croissants et les attaques de plus en plus sophistiquées. Faute d'experts garants de la sécurité de leurs données, les entreprises s'exposent à des risques financiers et réputationnels de plus en plus lourds.

D'où provient cette difficulté à recruter et comment y remédier ? Quelles réponses les professionnels du secteur peuvent-il eux-mêmes apporter ?

Malgré la démocratisation du concept de transformation numérique des entreprises, les secteurs de l'IT et de la cybersécurité souffrent encore d'une image péjorative de « métier de geek », doublée d'une méconnaissance du grand public quant à la pluralité des métiers et des opportunités qui existent. Enfermé dans la vision réductrice d'une filière réservée aux informaticiens, le secteur peine à attirer des talents variés qui permettraient de combler l'éventail des postes à pourvoir.

Les opportunités en cybersécurité sont pourtant nombreuses et variées, du marketing à l'ingénierie, en passant par la recherche et les RH.

Pour sensibiliser au secteur de la cybersécurité dans sa globalité, les professionnels du secteur doivent se rendre plus accessibles. L'évangélisation de leur discipline est un premier pas nécessaire afin de toucher un public plus large notamment les plus jeunes générations, en les informant sur les opportunités de carrières qu'offre le secteur.

Partenariats et interventions dans les écoles, participations aux journées de recrutement, ouverture de places aux alternants/stagiaires, système de portes ouvertes en entreprise : les options sont multiples pour fournir aux experts de demain une vision plus claire des enjeux de la cybersécurité, des défis du secteur, des exigences métiers, mais aussi des compétences requises et des perspectives professionnelles auxquelles ils peuvent prétendre.

En parallèle, les offres en formation doivent être repensées pour équiper les futurs experts en cybersécurité de compétences pointues qui répondront aux besoins actuels et futurs des entreprises en matière de sécurité des systèmes d'information, telles que détaillées dans la liste des profils métiers publiée par l'ANSSI en 2015.

Heureusement, les choses changent : les écoles d'ingénieurs proposent de plus en plus de Masters spécialisés cybersécurité, et de nouveaux diplômes, comme les Licences professionnelles et les DU, s'ouvrent progressivement. L'initiative annoncée de la création du Capes informatique d'ici 2020 est aussi une évolution significative car jusqu'ici, l'accès aux métiers de l'IT n'intervient que tardivement dans le cursus pédagogique.

La création d'un corps enseignant spécialisé en informatique au sein de l'Education nationale va permettre de mettre le milieu éducatif à jour, à la mesure des défis et des besoins de formation en cybersécurité.

À l'heure actuelle, il est estimé qu'il faut aux entreprises un minimum de trois mois pour réussir à recruter des candidats compétents et qualifiés en cybersécurité. Deux recruteurs sur trois affirment que la moitié des candidatures qu'ils reçoivent ne satisfont pas les pré-requis en matière de compétences, tandis qu'un recruteur sur trois reconnait tout simplement ne pas être en mesure de recruter les experts qu'il recherche, et ce malgré l'attractivité des postes à pourvoir et des salaires proposés.

Tous les moyens, et notamment les plus disruptifs, doivent être mis en oeuvre pour attirer les talents : organisation de journées portes ouvertes, sessions de « speed recruiting », hackathons, mais aussi activités ludiques et inédites de type « escape game ».

Pour finir, les responsables du recrutement doivent également faire preuve d'une plus grande ouverture d'esprit et ne pas fermer la porte aux profils qui ont bâti leur expertise au sein d'autres secteurs que celui de la cybersécurité. Des collaborateurs aux formations a priori très éloignées des enjeux cyber comme les formations commerciales ou même d'histoire de l'art peuvent venir enrichir et renforcer les compétences des équipes de cybersécurité.

En se concentrant sur ces trois axes prioritaires de sensibilisation, de formation et d'évolution des mentalités, l'industrie sera plus à même de faire face à un paysage de menaces changeant et grandissant.

Pierre-Yves Popihn, Directeur Technique France - NTT Security.