Alors que cyberattaques et hacks se multiplient, le besoin de personnes qualifiées en cybersécurité n’a jamais été aussi important. Pourtant, la main-d’œuvre manque cruellement – d’où la nécessité d’en repenser l’enseignement.

Le trou à combler est immense – et il croît de mois en mois, d’années en années. Selon une étude de Cybersecurity Ventures, le secteur de la cybersécurité, à l’échelle mondiale, manque de 3,5 millions de travailleurs compétents pour la seule année 2021. Un constat vertigineux, d’autant plus que selon une étude précédente, réalisée par Cisco, le secteur ne souffrait que d’un seul million de postes vacants en 2014. Cette impressionnante hausse s’explique autant par l’augmentation des cyberattaques, qui visent aujourd’hui grandes multinationales comme modestes PME, que par la transition de l’économie mondiale vers toujours plus de numérique. La pandémie mondiale, et son télétravail contraint et souvent pas ou mal anticipé par les entreprises, n’ont fait qu’augmenter le risque de brèche dans la sécurité au quotidien. En tout, les autorités américaines ont mesuré que le nombre de postes à pourvoir outre-Atlantique avait grimpé de 350 % entre 2013 et 2021, sans que le nombre d’étudiants formés ne suive.

La France, ce mauvais élève

« Trouver des profils compétents en cybersécurité est un problème depuis déjà de nombreuses années », résumait, ainsi, il y a quelques semaines Camille Stewart, en charge de ces questions chez Google, avant d’avancer une première piste de réflexion : « Le secteur est plombé par certains prérequis de recrutement souvent trop important et, finalement pas nécessaires. Des certifications et des diplômes qui agissent davantage comme une barrière. » À l’instar de Camille Stewart, nombreuses sont les voix qui commencent à interroger le modèle de formation en cybersécurité, invitant à le démocratiser pour répondre au défi. « Et si nous passions à côté d’un vivier de très bons candidats parce que l’image que l’on se fait d’une personne qualifié en cybersécurité est d’un autre temps ?, s’interroge le fondateur de l’entreprise spécialisée Alpine Security, Christian Espinosa. Aujourd’hui, encore, pour être recruté il faut présenter un master universitaire. (…) C’est à mon avis la principale raison de ce manque de profils. »

Déjà en 2016, une étude réalisée par McAfee pointait que la formation en cybersécurité était « insuffisante », notamment parce que les diplômes universitaires proposés étaient trop théoriques et manquaient de cursus spécifiques. « La plupart des universités enseignent la matière par de vieilles méthodes, en se basant bien trop sur la théorie. De fait, quand les étudiants sortent diplômés, ils ne sont pas encore au point pour travailler rapidement », décrit Christian Espinosa, qui a donné des cours à l’université. L’enquête de McAfee critique également le niveau de diplôme demandé aux candidats. La France est particulièrement pointée du doigt comme l’un des plus mauvais élèves. Chez nous, les entreprises cherchent essentiellement des candidats ayant au moins un master. Aux États-Unis, au contraire, un Bachelor est vu comme suffisant. « Notre étude montre que les entreprises doivent revoir à la baisse leurs exigences en termes de diplômes, et examiner davantage les compétences techniques et privilégier les cursus où les étudiants ont eu de la pratique », conclut McAfee.

« Casser les stéréotypes »

Pour répondre à ce défi, plusieurs méthodes peuvent être préconisées. Contre la lenteur du système universitaire à se mettre à jour à ces nouveaux défis, c’est sans doute aux entreprises en première ligne de prendre la main. « Il n’existe pas d’action magique pour combler le manque de profils formés en cybersécurité, posait l’année passée l’Information Systems Security Association (Issa). Au contraire, il faut développer une réponse globale de formation soutenue et intégrée à l’économie. » Comme d’autres secteurs de pointe en pleine explosion, comme le Big Data, la cybersécurité a besoin de profils techniques rapidement opérationnels, de cursus professionnalisant, d’une ou deux années, pensés avant tout pour les besoins des entreprises. Un apprentissage co-conçu avec la profession, comme nous le proposons chez Human Experience, est bien évidemment l’une des manières les plus efficaces pour y arriver.

D’autant que ce type de formation participe à attirer des profils plus divers. « Il est nécessaire de casser les stéréotypes autour des profils de cybersécurité », estime Camille Stewart de Google. Comprendre : un homme blanc détenteur d’un PhD. Or, il est entendu que les formations en alternance en entreprises sont un bon moyen de démocratiser les enseignements techniques, notamment, en direction des femmes, nombreuses à choisir de se reconvertir dans les métiers de la cybersécurité, mais également l’Intelligence artificielle ou encore de la Data. Un enjeu de justice sociale d’autant plus important en France où seulement 5 % des experts en cybersécurité sont des femmes.