in

Edito de novembre 2013 – Quand la filière cybersécurité se tire une balle dans le pied

La France essaye depuis plusieurs années de créer une véritable filière cybersécurité.  A chaque rapport ou conférence cyber, on en revient à recommander de « créer une filière cybersécurité ». Mais où en sommes-nous ?

Pourquoi une filière cybersécurité ? Pour répondre aux besoins de l’Etat français et de ses entreprises en matière de sécurité informatique car cela ne vous aura pas échappé mais la cybersécurité est désormais une priorité nationale. Mais aussi pour répondre à la crise économique, au chômage car on a besoin d’entreprises innovantes dans ce secteur, on a besoin d’étudiants, on a besoin de chercheurs, on a besoin d’emplois, on a besoin d’offres françaises pour moins dépendre technologiquement des autres pays, on a besoin d’exporter nos technologies… Tout ça combiné donne de bonnes raisons de créer une filière cybersécurité dynamique et innovante.

Mais cette filière cybersécurité, qui peine à exister, se plaint toujours des mêmes maux : manque d’offres françaises, manque de ressources humaines, manque d’attractivité, manque de cohérence, manque de prise de conscience… La cybersécurité est un petit monde mais chacun joue sa carte en solo, chacun son Cloud souverain, chacun sa Chaire, chacun son association, chacun sa conférence, les RSSI d’un côté, les consultants de l’autre, les éditeurs partout. Et finalement on n’arrive plus à réfléchir et travailler ensemble et aller dans la même direction. Ego, lutte de pouvoir et d’influence, politique…

Mais est-ce qu’elle ne se tire pas elle-même une balle dans le pied ? Prenez quelques minutes pour lire cet article du site developpez.com et surtout les commentaires qui y réagissent. L’article évoque le désintérêt des jeunes pour nos métiers. Et si l’étude citée concerne les Etats-Unis, elle s’applique également parfaitement à la France. Les commentaires sous l’article démontre bien l’étendue du problème :

  • Des jeunes se plaignent de « l’exigence » des entreprises françaises qui ne voient qu’un DIPLÔME dans les candidats qui postulent à leurs offres. Et encore il faut que cela soit un BAC+5 pour qu’ils méritent une quelconque attention… Tous les métiers de la sécurité nécessitent-ils un Bac+5 ?
Je sors d’une licence en sécurité de l’information (BAC +3), cependant les offres dans ce domaine tournent bien souvent autour d’un profile BAC +5 avec 5 ans d’expérience.
Le fameux mouton à 5 pattes c’est le sempiternel refrain quel que soit le domaine. Maintenant s’il y’a de vrai manques prendre un jeune et le former à ses propres méthodes avec un plan de carrière évolutif et pérenne serait l’évidence, le bon sens bref, politique de gestion illogique, laisser les talents se faner ou partir vers d’autres cieux.
  • Quand ce n’est pas le diplôme, le problème c’est l’expérience. Comment peut-on demander à des jeunes diplômés de tout savoir ? d’avoir des compétences sur tous les systèmes ? De savoir programmer dans tous les langages ? Et d’avoir déjà effectué des tests d’intrusions ? Heureusement le ridicule ne tue pas… Les entreprises ne veulent plus former leurs salariés. Il leur faut des personnes jeunes (donc pas chères) et déjà expérimentées. Mais après comment se plaindre de ne pas trouver la perle « rare » ? C’est sûr si vous voulez des candidats opérationnels tout de suite, il faudra aller chercher des personnes avec 5 ans d’expérience (les débaucher souvent) et les payer en conséquence tout en leur offrant des missions intéressantes.
Si effectivement, il y a menace léthale due au manque de candidats « engageables », beaucoup de boites seront-elles mêmes responsable de leur propre mort du à l’entêtement à vouloir à tout prix démarcher les employés du voisins déjà formés plutôt que de former des nouveaux employés…
  • D’autres expliquent qu’ils n’ont jamais été très informés sur les métiers de la sécurité informatique pendant leurs études. Encore une fois, on ne peut s’en prendre qu’à nous-même. Les bonnes formations en sécurité sont peut-être rares mais elles sont aussi souvent délaissées car peu connues. On ne sait pas communiquer sur nos sujets… La communication n’est pas un gros mot.

Quand je vois que même en IUT informatique on ne nous a jamais mentionner cete voie… Le seul cours sur la sécurité informatique qu’on ait eu était un module très conceptuel de 4 heure qui portait sur l’analyse des risques.

  • Quelle est la place de la cybersécurité dans l’informatique ? Et bien dans la plupart des formations « généralistes » il s’agit d’une simple option, un module de quelques heures. On parle de sécurité en amont pour améliorer le niveau de sécurité mais la sécurité ne devrait-elle pas être intégrée à chaque formation informatique ? Un pré-requis, surtout dans les formations liées au développement informatique ? Non, aujourd’hui la cybersécurité est une « niche », petite sœur de l’informatique. Alors que les débouchés devraient être nombreux et intéressants (en théorie).

C’est marrant j’ai justement suivi une conférence sur les métiers de la cybersécurité hier. Le résultat d’un court sondage à main levée à la fin de la présentation était prévisible : à peine une personne souhaitait faire carrière dans la cybersécurité sur une centaine d’étudiants. Concernant la présence de la cybersécurité dans l’enseignement, dans mon cursus il n’y a qu’une option en M1 et rien de plus. Autant dire qu’un bon nombre d’étudiants n’en entendront jamais parler.

C’est tout pour aujourd’hui mais il y aurait de quoi remplir des dizaines d’éditos… Je n’ai pas de solutions miracles à proposer mais je pense qu’on devrait tous une fois de plus se remettre en question. Il s’agit essentiellement de bon sens même si ça nécessite également un changement de politique que ce soit dans les entreprises mais aussi au sein de l’Etat français et notamment dans l’enseignement supérieur. Il faudrait commencer par lire ce qu’en pensent les premiers intéressés…

Le mois prochain je vous parlerai des conférences cyber qui tournent en rond. Mêmes intervenants, mêmes constats et zéro solutions.

——

Sources des citations :

Vous aimerez aussi cet article:

4 Comments