Cela fait un certain temps que je souhaitais évoquer ce sujet. Il n’est que peu traité et pourtant tellement fondamental pour l’avenir de nos métiers. La première préoccupation des entreprises spécialisées en sécurité reste depuis quelques années le recrutement. Les entreprises (cabinets de conseil et d’audit, intégrateurs, éditeurs de solutions de sécurité…) ont de fortes difficultés à identifier et recruter des personnes compétentes.
Oui, la France forme de très bons ingénieurs mais pas en assez grand nombre. Et peu d’entre eux se dirigent vers des carrières en sécurité des systèmes d’information. Pourquoi ? Par manque d’information ? Par manque de motivation ? Pour des raisons financières ? Car les métiers sont très difficiles ? Je pencherais plutôt pour un problème de communication autour de nos métiers qui sont bien payés, très diversifiés, pluridisciplinaires et qui offrent des challenges intéressants. La sécurité reste malheureusement (à tort) pour beaucoup qu’une énième sous-spécialité de l’informatique.
Mais nous pourrions également faire d’autres constats (non exhaustifs) sur les causes de ces difficultés :
1/ Les écoles d’ingénieur ou les formations universitaires proposent peu de cursus spécialisés en sécurité informatique : la sécurité n’est qu’un module comme un autre…
2/ Les entreprises sont encore trop peu liées aux écoles / universités. Pourtant cela paraîtrait logique de voir naître des partenariats entre public et privé (ou privé / privé). Cassidian CyberSecurity ne s’y est pas trompé en signant un partenariat avec la Fondation Télécom et en s’engageant « en faveur de l’innovation et de la formation d’experts en cybersécurité au sein des écoles Télécom de l’Institut Mines-Télécom« . Les écoles / universités ont besoin de connaître l’état du marché et d’adapter leurs formations aux besoins des entreprises.
3/ En France, on privilégie les formations les plus prestigieuses. On mise donc tout sur les ingénieurs en oubliant que des techniciens (et ce n’est pas péjoratif…) de niveaux Bac + 3 ne doivent pas être oubliés. Certains métiers de la SSI ne nécessitent pas forcément un Bac +5 pour débuter. Mais combien y-a-t-il de formations de niveau Licence spécialisées en sécurité ? Très, très peu.
4/ L’ingénieur français veut devenir manager dès qu’il finit son école. On comprend donc aisément les problèmes rencontrées par nos entreprises pour recruter des personnes compétences et techniques. Car la technique est dévalorisée, le management et la gouvernance sont au contraire plébiscités. Pourquoi ? Car tout simplement ça rapporte plus et le travail est vu comme plus valorisant.
Je décide de m’arrêter là mais j’ai encore plusieurs exemples en stock. Maintenant que faire ? J’ai également quelques idées qui me tiennent à coeur mais certaines nécessitent que des décisions soient prise à un plus haut niveau (de l’Etat mais aussi dans les entreprises). Car sinon j’ai peur que nous allions dans le mur… Je les évoquerais dans un futur billet.
Et vous qu’en pensez-vous ? Êtes-vous d’accord avec ces constats ? Avez-vous des idées pour améliorer les choses ?
PS : J’ai commencé à écrire ce billet la semaine dernière mais j’ai rapidement compris qu’il deviendrait plus qu’un édito. Néanmoins ce premier billet servira de « teaser » pour un article plus structuré et détaillé qui arrivera un peu plus tard.
Beaucoup de mes connaissances dans le secteur disent avoir plus appris par ex-mêmes en bidouillant et en cherchant par eux-mêmes et en y passant du temps plutôt qu’à l’école…
Faut voir que c’est aussi une passion et que la débrouille a aussi pas mal sa place, non ? Par exemple, chez les gens qui font des pentests…
Tout à fait, c’est un point que j’ai pas abordé mais qui très intéressant. Le problème en France c’est que beaucoup d’entreprises se basent sur le diplôme pour juger les candidats. Et pas sur les compétences, surtout en début de carrière (et c’est un passage obligé de trouver un premier job !). Après l’expérience remplace le diplôme, bien heureusement.
Les entreprises françaises ont encore du mal à intégrer des profils d’autodidactes chez elles. Mais ça évolue.
Je parlerai aussi dans mon billet de la formation « continue ». Car un professionnel de la sécurité doit se tenir à jour sinon…
Ca, tu le vois partout… pareil dans le journalisme.
Je me souviens d’un entretien passé pour piger chez Reuters au Caire (qui avait marché) un pur plaisir ! Ils m’ont mis devant des écrans… et vas y, voici les news, monte deux sujets et enregistre tes sons par dessus, etc…
seul le cote pro comptait. Si tu sais bosser tu es pris…
Alors qu’en France…
Hello,
Très bon édito!
J’ajouterai quelques points:
Il y a certaines écoles où la sécurité informatique est plus qu’un module. Un peu de pub pour mon école d’ingé qui en manque cruellement: l’ENSI de Bourges qui propose une formation spécialisée après prépa et bientôt en 5 ans en rejoignant le groupe INSA je crois.
Pour la question des profils, il y en effet un problème d’identification. Tu le dis bien, toutes les sociétés puisent dans le « bac+5 ». Un grand sac où il y a trop peu de spécialisations.
–> On veut un ingénieur pour tout alors que tout n’a pas besoin d’un ingénieur. (pas péjoratif non plus ^^)
–> Pour chaque sous-domaine de l’infosec il faudrait une formation dédiée comme on le trouve dans le médical par exemple. Seulement le domaine n’est pas encore assez mature. C’est une discipline « naissante » qui a besoin de structurer.
Il y a ensuite que l’infosec n’est pas une vocation comme pompier, médecin ou astronaute 🙂
Je pense cependant que le sujet progresse, les médias, l’hacktivisme, le cyberespionnage, etc… rendent peu à peu le sujet plus sexy.
–> L’image est essentielle pour attirer plus de monde.
C’est un vrai problème (pas assez d’ingénieurs compétents en sécurité formés) – nous avons 5 postes ouverts (Paris, Lyon, Aix…) et relativement peu de candidats. Il y a deux formations sur Lyon (mastère spécialisé à l’INSA, master à l’EPSI) qui n’ont pas démarré faute de quorum de candidats (ou soucis financement – ce qui semble poser un problème spécifique ces temps-ci : boucler le financement). C’est quand même étonnant, avec un niveau de chômage nul – il ne devrait pas y avoir de problème pour avoir un prêt bancaire, non ?
Apparemment la sélection des formations chez pôle emploi n’est pas non plus en ligne avec les besoins, si quelqu’un peut leur dire ?
Nous avons du coup résolu d’investir en formation en interne – les formateurs, eux, sont disponibles !
On ne peut reprocher à certains de vouloir devenir managers très rapidement, étant donné que les « techos » sont très mal payés en France. D’autres pays l’ont bien compris et rémunèrent leurs techniciens pour justement les motiver à maintenir leur expertise et ne pas évoluer vers de l' »abstrait » … 😉
L’ANSSI ne serait-elle pas en train d’assécher le secteur ?
http://owni.fr/2012/11/20/la-cyberdefense-recrute/
Bien sûr que l’ANSSI recrute beaucoup mais le problème ce n’est pas l’ANSSI ou Thales / Cassidian. A l’origine c’est qu’il n’y a pas assez de candidats… Pas assez de formés dans notre domaine de spécialité, pas assez de motivés pour travailler en sécurité…
il y a des petites erreurs, en effet comme on dit « Google est ton ami ».
Et moi qui pensait que les mecs qui bossent dans la secu. savaient chercher sur Google…..
1/ Juste pour info., étant donné que je suis un fils de la république et par conséquent aime les formations public et non celles de « boites à fric » (seules les formations public sont reconnues à l’étranger (what’s the fuck?))
Allez voir sur le site officiel ONISEP –> site public 😉
http://www.onisep.fr/Choisir-mes-etudes/Apres-le-bac/Filieres-d-etudes
2/ j’adore celle-la : « Les écoles / universités ont besoin de connaître l’état du marché et d’adapter leurs formations aux besoins des entreprises. »
Savez-vous que les formations public (et oui, a croire qu’elles valent quelque chose) sont évaluées par l’AERES, si les formations ne répondent aux besoins —> elles dégagent
3/ Mais combien y-a-t-il de formations de niveau Licence spécialisées en sécurité ? Très, très peu. –> faux, il suffit de chercher simplement sur l’ONISEP
Le problème est que les RH et autres décideurs proposent des salaires et des jobs sans intérêt aux jeunes diplômés dans la secu. (et oui ils savent que c’est une niche….)
En effet, la mondialisation a ses avantages et ses inconvénients…..
Ce n’est qu’un édito sans prétention, sans recherches poussées. Le sujet m’intéresse mais je n’ai pas eu le temps de m’y consacrer plus.
Nul n’est parfait mais je ne vois pas où je critique les formations publiques ? J’ai moi même un DUT, une Licence et un M2 obtenus à l’Université…
Concernant l’AERES je connaissais vaguement car mon Master avait été évalué à un moment, et avait même changé de nom mais le fait que les formations soient contrôlées ne fait pas que les formations soient en adéquation avec les besoins du marché : la preuve, on manque d’ingénieurs et de spécialistes en sécurité…
Je veux bien une liste de Licence Professionnelle en sécurité informatique, ça m’intéresser. J’en ai trouvé quelques unes sur Google. Par rapport aux besoins c’est trop peu.
Sinon si vous voulez continuer à en discuter, vous avez mon e-mail, Twitter…