Le virus s’est répandu comme une trainée de poudre sur la planète. Son nom de code, WannaCry. Ce logiciel malveillant fait partie de la famille des « rançongiciels ». Une fois installé sur un ordinateur, il chiffre son contenu pour le rendre inaccessible à son utilisateur et réclame une rançon pour le déverrouiller. Sa propagation a été parfois pénalisante pour les entreprises. En Europe, la Grande-Bretagne où le système de santé britannique a été quasi paralysé par le logiciel a été durement touchée. Plusieurs grandes entreprises ont vu leur activité interrompue sur le continent dont l’opérateur Telefonica en Espagne et le constructeur Renault qui a connu des perturbations sur des chaînes de montage. Par chance, un jeune chercheur en sécurité britannique a stoppé « involontairement » le processusEn cas d’attaque plus massive les conséquences sur la vie économique du pays auraient pu être plus lourdes.  « Si l’attaque avait été un peu plus percutante, nous n’aurions pas pu servir tout le monde » estime Michel Van den Berghe le directeur général d’Orange Cyberdefense, premier prestataire français. En clair, la société n’aurait pas eu les ressources suffisantes pour rétablir rapidement les systèmes de tous ses clients.

Seulement 1200 postes pourvus sur 6000 ouverts dans la cybersécurité en 2016

La vulnerabilite des groupes FRAncais

cybersécurité

Chaque fois que ce genre d’épisode intervient, il met en lumière une faiblesse récurrente dans l’Hexagone : le vivier réduit d’experts en sécurité informatique et donc la vulnérabilité des groupes français en cas d’attaque massive. Les prestataires peinent à recruter ce qui, à l’heure où il faut jouer les pompiers, s’avère problématique pour ces sociétés. La France n’est pas un cas isolé. Selon l’Isaca, une association de professionnels des systèmes d’information, la pénurie serait même mondiale. Dans une étude réalisée en début de l’année, l’organisation indique que 27% des 633 professionnels interrogés parmi ses membres reconnaissent ne pas être en mesure de recruter les experts qu’ils recherchent. Une proportion qui atteint même 30 % en Europe. Malgré l’abondance des CV reçus, deux personnes interrogées sur trois indiquent que moins de la moitié des candidats disposent des compétences requises. Cela donne une idée du décalage entre l’offre et la demande.

6000

postes OUVERTS

SEULEMENT 1200 POURVUS 

Mais ce problème semble plus aigu dans notre pays en raison d’une prise de conscience plus tardive de la nécessité de renforcer la filière. Selon les indications de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, sur 6000 postes ouverts dans la cybersécurité en 2016, seulement 1200 auraient été pourvus. Et «  le phénomène s’accentue » estime Michel Van den Berghe dont la société prévoit de recruter un millier de personnes sur trois ans. Porté par la consumérisation de l’informatique et la transformation digitale, le numérique se diffuse partout dans l’entreprise. Les salariés disposent d’une multitude de moyens de se connecter au système d’information, autant de portes d’entrées ouvertes à des actes malveillants. Il faut ajouter à cela toute une batterie de réglementations qui obligent les entreprises à recruter à tour de bras des professionnels en  sécurité informatique afin de se mettre en conformité. «  La régulation accentue la problématique. Les entreprises se tournent vers des prestataires spécialisés qui, eux-mêmes, ont du mal à trouver des ressources » confirme Michel Van den Berghe. Citons par exemple le GDPR (ou General data protection regulation), le nouveau règlement européen qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Ou encore la loi de programmation militaire votée en 2013 qui impose aux entreprises sensibles dites d’OIV (Opérateur d’importance vitale) de muscler leur arsenal de défense numérique.  Plus de deux cents sociétés gravitant dans des secteurs aussi divers que les transports, l'énergie, l'agroalimentaire ou la finance sont concernées. Et la situation pourrait bientôt devenir préoccupante ! Car la multiplication du nombre d’objets connectés à Internet peu sécurisés contribuera sûrement à l’aggravation du phénomène dans les prochaines années tant l’on risque d’assister à une recrudescence des besoins en experts.

Des initiatives sur le front de la formation pour l’instant insuffisantes

Pourtant, la profession ne reste pas les bras ballant. Depuis quatre ans, des initiatives dans le secteur de la formation académique et professionnelle sont lancées pour former ces spécialistes, mais également pour sensibiliser très tôt aux risques numériques. Les mastères spécialisés notamment se sont multipliés afin de former en une année des jeunes diplômés en informatique disposant d’un bagage en cybersécurité.  En parallèle, l’Anssi cherche à bâtir un écosystème de qualité par le biais de systèmes de labellisation des formations tel que « SecNumEdu » qui garantit aux employeurs de disposer du niveau de compétences attendu. Néanmoins le panel de formations, une trentaine certifiées, reste insuffisant. La demande de profils experts en cybersécurité - plus d’un millier par an selon les spécialistes - est telle que le système éducatif a du mal à suivre. 


La formation  Cyberdéfense de l’EnsibS

Ecole cybersécurité Ensibs

En outre, peu de formations abordent tous les aspects de la sécurité informatique, un domaine qui implique une culture étendue naviguant entre l’électronique, les réseaux, l’informatique, les systèmes industriels et le droit. A ce jour, l’Ensibs (Ecole nationale supérieure d’ingénieurs de Bretagne-sud) et l’Esiea (École d’ingénieurs du monde numérique) sont les seules écoles d’ingénieurs ayant mis en place un parcours en sécurité informatique s’étalant sur plusieurs années.     « En trois ans, nous proposons une profondeur d’expertise supérieure à un mastère qui n’aborde qu’un pan de la cybersécurité » se félicite Charles Préaux, le responsable de la formation ingénieur Cyberdéfense de l’Ensibs.  Cette dernière est également une des rares en France à enseigner un apprentissage concret des notions de « sécurité offensive » c’est à dire des techniques d’intrusion utilisées par les pirates ou les organisations malveillantes pour pénétrer les systèmes.

Dans ce cursus, les étudiants apprennent ainsi à contrer au travers d’exercice pratiques les multiples piratages concoctés par leurs enseignants. Cette année, les futurs ingénieurs ont par exemple eu droit à une semaine d’exercices dans des conditions proches du réel dont le scénario consistait à protéger un hôpital sous le feu des attaques. Un exercice réalisé en partenariat avec le centre hospitalier de Bretagne-Sud.

Corriger le déficit de compétences prend du temps

Corriger le déficit de compétences prend du temps. « Notre deuxième promotion sera sur le marché à l’été alors que nous sommes pourtant une des formations les plus anciennes » relativise Charles Préaux. Et le marché n’attend pas. Confrontés à l’urgence de recruter de nouveaux experts en sécurité numérique, certains employeurs prennent l’initiative de créer leur propre filière de formation. Orange Cyberdéfense a lancé cette année son « université » : l’Orange Cyberdefense Academy. L’un des cursus proposé est une formation en alternance dispensée en partenariat avec le Cnam (Conservatoire National des Arts et Métiers), en cours du soir, qui donne droit en fin de parcours à l’obtention d’un diplôme de technicien supérieur et/ou d’ingénieur spécialisé en sécurité informatique, en fonction du niveau d’études des candidats. Les salariés en CDI effectuant la journée leur mission régulière chez les clients. Pragmatique, la société a pour l’occasion assoupli ses exigences en matière de compétences techniques requises pour intégrer la filière. «  Certaines recrues ont bien évidemment un vécu dans la sécurité. Mais d’autres ne possèdent que des compétences en informatique. Leur point commun est une appétence à évoluer dans ce domaine » relève Ludivine de Lavison DRH de Orange Cyberdefense. L'entreprise préfère ainsi parier sur les aptitudes, la personnalité et la motivation des candidats. L’autre dispositif de cette académie repose sur la mise en place de cursus d’une durée d'un mois et demi qui visent à former en interne à une ou plusieurs technologies du marché. Le premier mis en place abordant la gestion des identités et des accès. Le choix n’est pas anodin. Si la pénurie concerne une grande variété de profils, les experts en gestion des identités sont, de l’avis de tous les observateurs, l’un des postes les plus convoités. 

Les experts en gestion des identités sont, de l’avis de tous les observateurs, l’un des postes les plus convoités.

Orange Cyberdefense déplore notamment un manque de spécialistes en reconstruction des services d’annuaire Active Directory. Autres compétences que les recruteurs s’arrachent : les pentesteurs, chargés d’auditer les failles dans les systèmes informatiques, ou les analystes forensic, spécialistes de l’investigation post-attaque, ou encore les développeurs Python/PHP capables de vérifier le niveau de sécurité du logiciel développé. «  Des profils difficiles à recruter car peu visibles sur la toile contrairement aux candidats recherchant des postes plus fonctionnels »  relève Ludivine de Lavison. Dans ce domaine, il faut donc faire preuve d’innovation en matière de recrutement. Finie l’éternelle recherche du « mouton à cinq pattes », l’ingénieur bac +5 qui coche toute les cases. Les employeurs s’ouvrent à de nouveaux profils. Depuis quelques années, ils sont ainsi de plus en plus nombreux à écumer les conventions de hackers, ces forums de passionnés d’informatique pas forcément bardés de diplômes mais redoutables experts dans la détection des failles. « Ces employeurs demandent à ces  gentils hackers de tourner leurs compétences à leur profit. Ce phénomène qui existe depuis longtemps aux Etats-Unis se développe désormais en France ce qui démontre un changement de mentalité. Ces profils ne sont pas présents sur les média, il faut donc les recruter par bouche à oreille » souligne Laurent Halimi dirigeant du cabinet Elitecyber Group, spécialiste du recrutement en cybersécurité.

Des profils difficiles à recruter car peu visibles sur la toile contrairement aux candidats recherchant des postes plus fonctionnels. 

Lors de la Nuit du Hack en juillet dernier, les sociétés OVH, Orange Cyberdefense, Qwant, Outscale, ou Hervé Schauer Consultants (Deloitte) sans oublier l’Anssi s’étaient déplacées dans l’espoir de trouver la perle rare dans le domaine de l’audit des systèmes d’informations.

Une inflation salariale accentuée par la guerre des talents que se livrent les employeurs

PENURIE OBLIGE LES SALAIRES s'envolent

inflation salaires

Pénurie oblige, les salaires montent en flèche. Les jeunes diplômés peuvent prétendre à la sortie de l’école à une rémunération moyenne de 35K euros par an qui peut doubler en l’espace de quelques années. « Il n’est pas rare d’observer des profils qui passent en six ans de 70 à 130 ou 140 K euros de rétribution » signale Laurent Halimi. A expérience égale, un spécialiste en sécurité numérique gagne environ 30% de plus qu’un informaticien lambda. La bataille entre les grands acteurs fait rage, les uns débauchant chez les autres. Ce « turn over » accentue le climat d'inflation salariale. «  L'inflation atteint 20 à 40% selon les profils. Les spécialistes de centres d’alerte et de traitement des attaques informatiques CERT (Computer Emergency Response Team) et Soc (Security Operation Center) sont notamment des denrées rares très convoitées» souligne Michel Van den Berghe.Les niveaux de rémunération pratiqués participent à une plus grande exposition de la filière auprès des jeunes générations. Malgré cela, celle-ci souffrirait toujours d’un déficit de notoriété. Une étude mondiale de Kaspersky Lab

constate, par exemple, que près de trois-quarts des jeunes (71%) ne sont pas informés des possibilités qui s'offrent à eux de poursuivre des études supérieures en sécurité informatique. La communication et la pédagogie autour des métiers de la cybersécurité restent plus que jamais une priorité nationale.

Rédigé par Olivier Discazeaux