Edito de novembre 2013 - Quand la filière cybersécurité se tire une balle dans le pied

La France essaye depuis plusieurs années de créer une véritable filière cybersécurité.  A chaque rapport ou conférence cyber, on en revient à recommander de "créer une filière cybersécurité". Mais où en sommes-nous ?

Pourquoi une filière cybersécurité ? Pour répondre aux besoins de l'Etat français et de ses entreprises en matière de sécurité informatique car cela ne vous aura pas échappé mais la cybersécurité est désormais une priorité nationale. Mais aussi pour répondre à la crise économique, au chômage car on a besoin d'entreprises innovantes dans ce secteur, on a besoin d'étudiants, on a besoin de chercheurs, on a besoin d'emplois, on a besoin d'offres françaises pour moins dépendre technologiquement des autres pays, on a besoin d'exporter nos technologies... Tout ça combiné donne de bonnes raisons de créer une filière cybersécurité dynamique et innovante.

Mais cette filière cybersécurité, qui peine à exister, se plaint toujours des mêmes maux : manque d'offres françaises, manque de ressources humaines, manque d'attractivité, manque de cohérence, manque de prise de conscience... La cybersécurité est un petit monde mais chacun joue sa carte en solo, chacun son Cloud souverain, chacun sa Chaire, chacun son association, chacun sa conférence, les RSSI d'un côté, les consultants de l'autre, les éditeurs partout. Et finalement on n'arrive plus à réfléchir et travailler ensemble et aller dans la même direction. Ego, lutte de pouvoir et d'influence, politique...

Mais est-ce qu'elle ne se tire pas elle-même une balle dans le pied ? Prenez quelques minutes pour lire cet article du site developpez.com et surtout les commentaires qui y réagissent. L'article évoque le désintérêt des jeunes pour nos métiers. Et si l'étude citée concerne les Etats-Unis, elle s'applique également parfaitement à la France. Les commentaires sous l'article démontre bien l'étendue du problème :

  • Des jeunes se plaignent de "l'exigence" des entreprises françaises qui ne voient qu'un DIPLÔME dans les candidats qui postulent à leurs offres. Et encore il faut que cela soit un BAC+5 pour qu'ils méritent une quelconque attention... Tous les métiers de la sécurité nécessitent-ils un Bac+5 ?

Je sors d'une licence en sécurité de l'information (BAC +3), cependant les offres dans ce domaine tournent bien souvent autour d'un profile BAC +5 avec 5 ans d'expérience.

Le fameux mouton à 5 pattes c'est le sempiternel refrain quel que soit le domaine. Maintenant s'il y'a de vrai manques prendre un jeune et le former à ses propres méthodes avec un plan de carrière évolutif et pérenne serait l'évidence, le bon sens bref, politique de gestion illogique, laisser les talents se faner ou partir vers d'autres cieux.

  • Quand ce n'est pas le diplôme, le problème c'est l'expérience. Comment peut-on demander à des jeunes diplômés de tout savoir ? d'avoir des compétences sur tous les systèmes ? De savoir programmer dans tous les langages ? Et d'avoir déjà effectué des tests d'intrusions ? Heureusement le ridicule ne tue pas... Les entreprises ne veulent plus former leurs salariés. Il leur faut des personnes jeunes (donc pas chères) et déjà expérimentées. Mais après comment se plaindre de ne pas trouver la perle "rare" ? C'est sûr si vous voulez des candidats opérationnels tout de suite, il faudra aller chercher des personnes avec 5 ans d'expérience (les débaucher souvent) et les payer en conséquence tout en leur offrant des missions intéressantes.

Si effectivement, il y a menace léthale due au manque de candidats "engageables", beaucoup de boites seront-elles mêmes responsable de leur propre mort du à l'entêtement à vouloir à tout prix démarcher les employés du voisins déjà formés plutôt que de former des nouveaux employés...

  • D'autres expliquent qu'ils n'ont jamais été très informés sur les métiers de la sécurité informatique pendant leurs études. Encore une fois, on ne peut s'en prendre qu'à nous-même. Les bonnes formations en sécurité sont peut-être rares mais elles sont aussi souvent délaissées car peu connues. On ne sait pas communiquer sur nos sujets... La communication n'est pas un gros mot.

Quand je vois que même en IUT informatique on ne nous a jamais mentionner cete voie... Le seul cours sur la sécurité informatique qu'on ait eu était un module très conceptuel de 4 heure qui portait sur l'analyse des risques.

  • Quelle est la place de la cybersécurité dans l'informatique ? Et bien dans la plupart des formations "généralistes" il s'agit d'une simple option, un module de quelques heures. On parle de sécurité en amont pour améliorer le niveau de sécurité mais la sécurité ne devrait-elle pas être intégrée à chaque formation informatique ? Un pré-requis, surtout dans les formations liées au développement informatique ? Non, aujourd'hui la cybersécurité est une "niche", petite sœur de l'informatique. Alors que les débouchés devraient être nombreux et intéressants (en théorie).

C'est marrant j'ai justement suivi une conférence sur les métiers de la cybersécurité hier. Le résultat d'un court sondage à main levée à la fin de la présentation était prévisible : à peine une personne souhaitait faire carrière dans la cybersécurité sur une centaine d'étudiants. Concernant la présence de la cybersécurité dans l'enseignement, dans mon cursus il n'y a qu'une option en M1 et rien de plus. Autant dire qu'un bon nombre d'étudiants n'en entendront jamais parler.

C'est tout pour aujourd'hui mais il y aurait de quoi remplir des dizaines d'éditos... Je n'ai pas de solutions miracles à proposer mais je pense qu'on devrait tous une fois de plus se remettre en question. Il s'agit essentiellement de bon sens même si ça nécessite également un changement de politique que ce soit dans les entreprises mais aussi au sein de l'Etat français et notamment dans l'enseignement supérieur. Il faudrait commencer par lire ce qu'en pensent les premiers intéressés...

Le mois prochain je vous parlerai des conférences cyber qui tournent en rond. Mêmes intervenants, mêmes constats et zéro solutions.

------

Sources des citations :

4 thoughts to “Edito de novembre 2013 - Quand la filière cybersécurité se tire une balle dans le pied”

  1. Bonjour,
    Tout à fait d'accord avec votre article. Merci de souligner ce problème d'ailleurs.
    Par rapport au stage en entreprise, qui je précise est une étape importante dans le processus de recrutement, comment cibler en-dessous du niveau M2, si les autres n'ont pas 6 mois de stage obligatoire? En fonction des sujets, en dessous de 6 mois, cela fait trop court.

    Etant jeune diplômé, je tenais à préciser que j'ai commencé à voir des notions de sécurité informatique qu'à partir du M1... ce qui fait tard...je trouve...Mais étant donné que je m'y suis intéressé bien avant, ça passe...

    Si les confs en France (voire à l'étranger) n'étaient pas aussi chers des fois quand j'étais étudiant (faut penser au transport, logement...) , j'y serais allé plus souvent et j'aurais peut être appris beaucoup plus qu'en étant assis dans un amphi à prendre des notes de cours théoriques et barbants...

    Pour les filières informatiques, les notions de sécurité doivent commencer à être inculqué à partir du BAC+2 je trouve. Certains trouvent cela trop tôt, mais bon je ne pense pas.

  2. Tristement, désespérément vrai. Il faut malheureusement être lucide : une bonne part de la sécu vendue aujourd'hui en entreprise est une soupe magique servie par un certain nombre d'acteurs ne maîtrisant pas les briques techniques de base mais monstrueusement efficaces commercialement (j'ai dix ans d'anecdotes croustillantes dans mes cartons). Quand au volet formation, je pense qu'il commence à se structurer mais on part effectivement de très loin.

  3. même soupe toutes les fins d'années (manque de main d'oeuvre etc) -> j'adore la veille sécu.....

    Si seulement le patronat et l'Etat ne se foutait pas se jeunesse (cf: Accords Nationaux Interpro., bas salaires, les boites ne recrutent plus : elles louent de la bonnes barbak (SSII) -> ça fait le job et ça dégage lorsque le projet est finis)

    Et après vous vous étonnez que la jeunesse (génération Y, j'adore ce nom) se barre!

    Je regrette que mon pays qui m'a payé des études se foute de la gueule de sa jeunesse, pour ça que les bons (ceux qui bossent -> la valeur travail n'est pas reconnue en Fr) s'en vont vers d'autres cieux -> je compte en faire autant... le seul hic c'est que l'Etat. met des pavets sur la route (pas envie de voir "les bons" /sa jeunesse se barrer?)

  4. Cet article illustre juste les conséquences de la popularisation de l'informatique.

    Les écoles et universités forment majoritairement du bétail à SSII, des sortes de codeurs intégrateurs.
    Tu sais réutiliser 5 classes java dans eclipse et op tu es propulsé dev.
    Tu as installé ubuntu sur ton pc et op tu es embauché en tant que sysadmin.

    Au final, surtout en matière de sécurité informatique, qui est intrinsèquement une discipline transverse (réseau, système, développement, architecture ....) les compétences sont très rares, et seuls quelques passionnés sortent du lot par un travail personnel acharné souvent motivé par une grande passion.

    Le personnel enseignant étant quant à lui d'une médiocrité crasse dans ce domaine.
    Je me souviens des premiers cours de sécurité informatique en maitrise d'info à Orsay, début 2000, pitoyable de stupidité et de méconnaissance du sujet.

    Reste le monde du standard et des normes, ISO27000, PCI-DSS, Sarbanne-Oxley ... où il faut mieux connaitre excel et powerpoint que des techniques avancées d'exploitation...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.