Formation cybersécurité

CyberSecMonth #3 La formation : la solution à la pénurie d’experts cybersécurité

Co-écrit par Quentin Bedeneau & Albert de Mereuil, sur une idée de Maxime de Jabrun.

« ENTRAINEMENT DIFFICILE, GUERRE FACILE », proverbe de la Légion Etrangère.

Le thème de la quatrième semaine du CyberSecMonth concerne les compétences en cybersécurité et la formation. Face à des besoins d’expertise en cybersécurité, saurons-nous former à court, moyen et long terme, des générations de professionnels capables de répondre aux besoins en sécurité de toutes les entreprises française ?

Une pénurie de main-d’œuvre

En 2014 au Forum International de la Cybercriminalité (FIC), une table ronde s’est tenue sur la problématique de la pénurie d’experts en cybersécurité. Deux éléments de réflexion en sont particulièrement ressortis. Le premier est que les études permettant d’acquérir un niveau suffisant en cyber sécurité étaient difficiles à identifier. Le second est que les écoles n’arrivaient pas à produire des ingénieurs en nombre suffisant.

C’est dans cette optique que l’ANSSI a lancé le label SecNumEdu en 2016 afin de certifier les formations permettant d’acquérir le bagage minimal à un expert en sécurité informatique. Cependant le label n’a pas créé de nouvelles formations et le nombre d’étudiants formés par année n’a que peu augmenté.

Ainsi l’écart entre offres d’emploi et le personnel qualifié pour prendre le poste a continué de se creuser. Selon l’ANSSI, en 2016 uniquement 1200 des postes dans le domaine ont été pourvus contre 6000 propositions[1]. L’incapacité à trouver la main-d’œuvre suffisante entraine un refus de certaines entreprises à accepter des contrats. McAffee affirme ainsi perdre 35% de chiffre d’affaires[2]. Pour les industriels et les cabinets de conseil, il revient à mettre en attente certaines demandes des clients afin de pouvoir y répondre lorsque les ressources seront disponibles.

La création de nouvelles voies de formation

Devant la demande du marché, des formations nouvelles intégrant la cyber sécurité apparaissent. A Sciences Po, une spécialité « Sécurité et défense » vient d’être créée. Celle-ci propose notamment de la gestion des risques, de la cyber sécurité ainsi que des cas pratiques intégrant de la simulation de crise et des hackathons. [3] A l’Ecole de Guerre Economique, reconnue pour sa formation en intelligence économique, un MBA « Management des Risques, Sûreté Internationale et Cybersécurité » vient d’ouvrir ses portes, pour répondre à « un besoin d’approche globale de la cyber-sûreté et des risques »[4]. Les grandes entreprises et les pourvoir publics ont également pris le pari d’investir dans les formations. Airbus envoie dans plusieurs écoles spécialisées des ingénieurs pour dispenser des cours accès sur la pratique, avec sa plateforme CyberRange[5].  De même le ministre des Armées s’intéresse de près au pôle d’excellence Cyber à Rennes. [6]

La réponse de Beijaflore

A Beijaflore, nous avons choisi de former nous-mêmes des potentiels ayant suivi des cursus non IT en grandes écoles. Ainsi, deux fois par an, nous proposons aux jeunes diplômés une embauche avec 6 semaines de formation initiale au « Bootcamp ». Les thématiques abordées reprennent les bases de l’IT et couvrent l’ensemble des domaines de la sécurité en allant des méthodologies d’analyse de risque, aux bases sur les réseaux et les attaques en passant par les méthodologies du conseil. Formés par des consultants expérimentés du cabinet, les jeunes diplômés sont opérationnels à la sortie de cette formation, et reçoivent des retours positifs de leurs clients. Autre effet positif, la constitution de « promos » issues de cette formation créée également des liens solides entre les consultants et permet d’intégrer la culture du cabinet.

Parallèlement, en formation continue, Beijaflore propose à tous des sessions de cours afin de maintenir un niveau d’expertise pour ses consultants. Cette formation interne représente une quarantaine de cours magistraux, retours d’expérience et exercices pratiques par an. Les thèmes sont directement liés aux missions et aux offres de notre cabinet. Afin de valider l’expertise acquise par les consultants, des certifications diplômantes sont aussi proposées, à la fois pour les profils techniques et les profils fonctionnels. Sous forme de groupes de travail, les consultants se retrouvent pour travailler et se préparer ensemble aux examens. Cette année, 70 consultants profiteront de cette initiative pour valoriser notamment via les certifications CISSP, CSX, ISO 2700x leur expertise sécurité. En plus de démontrer la valeur de ses collaborateurs dans le domaine de la sécurité, Beijaflore contribue ainsi à répondre concrètement à la pénurie de compétences.

Si vous êtes issus de grandes écoles et que le domaine vous intéresse, n’hésitez pas à postuler sur notre site.

Retrouvez également nos deux premiers articles rédigés à l’occasion du Mois européen de la Cybersécurité, sur l’importance de la conformité et sur la cohabitation entre les anciennes vulnérabiltés et les nouvelles technologies.

[1] http://www.silicon.fr/cybersecurite-penurie-competences-mondiale-169237.html?inf_by=59e9c065671db86d0f8b4673

[2] https://www.lesechos.fr/tech-medias/hightech/030691913234-menaces-reglementation-et-penurie-de-talents-redessinent-la-cybersecurite-2121723.php

[3] https://www.usinenouvelle.com/article/un-master-securite-et-defense-a-sciences-po-grace-aux-etudiants.N508294

[4] http://lignesdedefense.blogs.ouest-france.fr/archive/2017/06/15/l-ecole-de-guerre-economique-18228.html

[5] https://www.programmez.com/actualites/airbus-participe-la-formation-en-cyber-securite-des-etudiants-de-quatre-grandes-ecoles-dingenieurs-26553

[6] https://www.ouest-france.fr/bretagne/cyberdefense-la-ministre-conforte-le-pole-breton-5291580