Les risques en matière de cybersécurité n’ont cessé de s’accroître ces dernières années et les entreprises cherchent des moyens d’instaurer coûte que coûte un programme de cyber-résilience viable. Mais paradoxalement, le nombre d’experts en cybersécurité reste toujours insuffisant au regard de ces menaces toujours plus sophistiquées.

| Cet article fait partie du dossier « Sécurité : ceux qui font bouger les lignes »

Selon l’ANSSI, seuls 1200 des 6000 postes cybersécurité ouverts en 2016 auraient été pourvus. Les entreprises tentent d’attirer les experts: En France, leur salaire serait 2,6 fois plus élevé que la moyenne dans les pays de l’OCDE.

D’après le dernier baromètre annuel du Cesin, l’impact des cyber-attaques est de plus en plus décisif. Les entreprises, bien conscientes de ces nouveaux risques, mobilisent leurs moyens mais 3 enjeux structurels ralentissent leur progression vers plus de cyber-résilience: la formation et la sensibilisation des utilisateurs, la gouvernance sur le sujet en interne et un problème RH de recrutement.

Pénurie d’experts et programmes universitaires constamment réajustés

Ce dernier point résume peu ou prou la crise structurelle dans laquelle les entreprises sont plongées depuis ces trente dernières années: bien que l’offre s’étoffe partout en France (on compte environ une cinquantaine de formations diplômantes en la matière), 91% des RSSI font toujours face à une pénurie des profils. Jean-Guillaume Dumas, professeur en Mathématiques Appliquées et directeur du master de Cybersécurité à l’université Grenoble Alpes depuis 2016 constate encore aujourd’hui ce problème: “Effectivement nous faisons le même constat de pénurie d’experts, en témoigne par exemple l’offre de stages et d’emplois spécialisés pour les étudiants de notre master, bien plus grande que le nombre d’étudiants. […] Nous formons les étudiants aux différentes problématiques associées et notre cursus comprend bien sûr les nouveaux risques IoT, réseaux mobiles etc. Mais évidemment il ne s’agit que d’une trentaine d’étudiants par an.”

Un problème de ressources humaines donc, mais aussi une difficulté à appréhender tous les enjeux qu’implique la mutation constante des nouvelles technologies. Les cyber-menaces ne changent-elles pas trop vite entre le moment de la formation et de l’embauche ? Pour Pascal Berthomé, directeur du département Sécurité et Technologies Informatiques (STI) à l’INSA Centre Val de Loire (Campus de Bourges), “ les nouvelles technologies sont des problématiques primordiales […] on évolue en fonction, petit à petit, entre IoT et blockchain, on essaye de couvrir une bonne partie de ces enjeux mais c’est pas facile. Il faut donner suffisamment de bases théoriques en fonction du contexte, de renouveler [les programmes] en fonction des nouvelles technologies. C’est tout l’enjeu de faire un programme évolutif et cohérent et nos étudiants ne sont pas forcément opérationnels sur toutes les nouvelles technologies mais ils disposent d’une forte adaptabilité”.

Le désintérêt des étudiants pour la cybersécurité n’est pas une fatalité

Chaque année, Pascal Berthomé forme une promotion d’environ 70 étudiants. Mais le désintérêt pour la spécialisation en cybersécurité d’entreprise reste très marqué: la plupart de ses étudiants se tournent vers des métiers de développement, d’analyse de risques et d’audit. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), seuls 1200 des 6000 postes ouverts en 2016 auraient été pourvus. La demande en experts en cybersécurité est donc très mince vis à vis de l’offre que les entreprises tentent de redorer en augmentant drastiquement les salaires année après année. En France, le salaire des spécialistes en cybersécurité serait 2,6 fois plus élevé que la moyenne dans les pays de l’OCDE (soit plus de 80 000 euros selon ce même organisme).

Toutefois, ce désintérêt pour la filière ne sonne pas le glas de la cyber-résilience en entreprise. Pascal Berthomé rappelle que les étudiants notamment partis en développement disposent tout de même d’une expertise sécuritaire des Systèmes d’Information qui peut bénéficier directement à l’entreprise. Face à la pénurie d’experts, tout l’enjeu pourrait donc consister à exploiter l’adaptabilité et la “sensibilité cyber” de ces jeunes talents afin d’impulser une réelle culture d’entreprise en la matière.