IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Emploi : quelles raisons à la pénurie globale de talents en cybersécurité ? La France métropolitaine concentre plus de 5000 postes à pourvoir et les USA près de 470 000,
D'après de récents rapports

Le , par Patrick Ruiz
23 commentaires

45PARTAGES

15  0 
Le même refrain se répète d’année en année : les experts en cybersécurité sont en nombre insuffisant au regard des besoins des organisations de tous types dans les secteurs public et privé. Certains rapports font même état de ce que la situation va en s’intensifiant. Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ?

Le déficit de compétences en cybersécurité n’est pas un problème régional ou national, mais mondial. La filière cybersécurité est confrontée à une pénurie mondiale qui tourne autour de 3 millions de personnes qualifiées, selon les données de différents rapports. 5000 postes sont à pourvoir en France métropolitaine, d’après de récentes données de la branche française de la firme PwC. Le département du Commerce des USA pour sa part fait savoir que 465 000 postes en cybersécurité cherchent preneur.

Une publication sur le site web de Colonial Pipeline pour le poste de responsable de la cybersécurité indique que ce dernier est à pourvoir depuis plus de 30 jours. Les responsabilités du poste comprennent « la gestion d'une équipe d'experts et de spécialistes certifiés en matière de cybersécurité », ainsi que la direction « du développement de la stratégie d'entreprise en matière de cybersécurité ». L'annonce indique également que le candidat sélectionné « supervisera le développement de normes et de processus pour la cybersécurité, dirigera la reprise après des incidents de sécurité et guidera les analyses médico-légales des incidents ». L'entreprise recherche « une personne ayant une bonne compréhension des menaces émergentes en matière de sécurité afin de concevoir des politiques et des procédures de sécurité pour atténuer les menaces dans la mesure du possible. »

Les exigences du poste comprennent un diplôme en informatique, en sécurité de l'information ou dans un domaine connexe. Colonial pipeline recherche également une personne ayant « idéalement plus de cinq ans d'expérience technique dans le domaine de la sécurité de l'information et, en outre, plus de cinq ans d'expérience pratique dans un rôle de réponse aux incidents ». Mais l'entreprise préfère que le candidat soit titulaire d'une maîtrise et ait au moins huit ans d'expérience. Sa parution fait suite à une attaque par ransomware qui a bloqué les activités de l’entreprise qui gère un oléoduc vital utilisé pour acheminer l'essence, le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est des USA. Colonial Piepline s’appuyait sur une version vulnérable et obsolète de Microsot Exchange que les pirates ont exploitée. L’exemple illustre une pratique courante dans l’industrie : réagir plutôt que faire dans la prévision en prenant en compte les aspects en lien avec la cybersécurité plus tôt dans le processus d’implémentation de l’infrastructure informatique.


Quelles solutions ?

En France, le gouvernement souhaite se préparer à toute attaque éventuelle et prévoit pour cela un plan de renforcement de la résilience de son cyberspace. L’objectif global via ce dernier est de développer le secteur de la cybersécurité. Il intègre deux objectifs spécifiques à savoir : faire émerger de nouveaux « talents français », et renforcer la résilience du secteur public. Ce plan intervient alors que le pays a été récemment confronté à deux cas d'attaques, notamment celles contre les hôpitaux de Dax et de Villefranche-sur-Saône.


Le point qui attire le plus l'attention est le budget prévu par le gouvernement pour atteindre ces objectifs d'ici cinq ans. En tout, l'État français prévoirait de consacrer 1 milliard d’euros d’investissements à ce secteur au cours des cinq prochaines. Selon les informations actuellement disponibles sur le sujet, la moitié de ce budget proviendrait directement des caisses de l’État. Ceux qui seront chargés de la mission devront œuvrer pour relever le niveau de sécurité dans le public (hôpitaux, collectivités) et dans le privé ; et développer la filière de la cybersécurité pour créer une alternative française aux outils majoritairement américains.

Le plan prévoit que plus de talents français de la cybersécurité seront joints au projet. De 37 000 emplois, la stratégie du gouvernement devrait permettre d'atteindre 80 000 emplois d'ici 2025, doublant ainsi le nombre actuel travaillant dans le secteur. Par ailleurs, Emmanuel Macron et son équipe espèrent également que ce plan de relance leur permette de doubler, voire tripler le chiffre du secteur français de la cybersécurité pour atteindre 25 milliards d'euros sur la période annoncée. Dans les grandes lignes, le gouvernement découpe sa stratégie comme suit :

  • plus de la moitié des fonds, soit plus de 500 millions d’euros, iront directement à la recherche. Comme expliqué plus haut, à travers ces fonds, le gouvernement veut développer et utiliser davantage d'outils français en lieu et place des outils américains majoritairement présents dans l'administration et dans le secteur privé ; financer des centres de recherche publics, et établir des partenariats public-privé pour accélérer la recherche d’innovations de pointe ;
  • le gouvernement va utiliser 200 millions pour faire émerger au moins trois nouveaux cadors du secteur de la cybersécurité, en particulier des startups devenues « licornes » (valorisées à plus d’un milliard d’euros). Cela dit, le gouvernement risque d'avoir des soucis pour mettre en exécution cet aspect de son plan, car, sur les 10 licornes françaises, aucune n’évolue actuellement dans le domaine. Mieux, deux des startups les plus en vue du secteur, Alsid et Sqreed, ont été récemment rachetées par des entreprises américaines ;
  • une partie de l'investissement sera orientée vers la finition et à l'ouverture du Campus Cyber, symbole de la stratégie française. C'est un projet du Président de la République consistant en un grand bâtiment de plus de 20 000 m2, qui va regrouper une soixantaine d’organisations : grands groupes, des PME, mais aussi des organismes publics, des associations, ou encore des startups. Le gouvernement l’envisage comme un « porte-avions » du secteur, capable de faire émerger des projets français d’ampleur.

L'attaque de SolarWinds aux États-Unis a démontré que l'administration et les agences gouvernementales forment également une catégorie de cibles privilégiées par les hackers. Le gouvernement français semble tout à fait conscient du danger, mais le budget alloué à la résilience de l'administration, ou de son cyberespace en général est considéré comme insuffisant. Pour beaucoup, le secteur de la cybersécurité est encore à ses balbutiements ou carrément quasi inexistant en France, et un budget de 1 milliard sur cinq représente des miettes face à ce que la Chine et les États-Unis sont capables d'investir par an.

Pour l'heure, le plan d'Emmanuel Macron prévoit d'utiliser 176 millions du milliard d'euros pour renforcer la résilience de l'administration. Rappelons qu'après les attaques des hôpitaux qui ont lieu tout récemment, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a demandé cette semaine de l'aide au gouvernement : « les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils nécessitent des protections supplémentaires et un accompagnement supplémentaire », a-t-il déclaré.

La réponse du gouvernement se trouve dans les 176 millions d'euros. Plus précisément, pendant les cinq prochaines années, les 176 millions vont permettre à l'État de soutenir les besoins du secteur public, notamment les hôpitaux et les collectivités. Selon les prédispositions du gouvernement, pendant cette période, l'Anssi (agence nationale de sécurité des systèmes d’information) sera chargée de mieux protéger et former les administrations. Depuis quelques années, les fonctions de l'agence ne cessent d'augmenter et depuis peu, elle arrive en première ligne en cas d'incidents liés au cyberespace. Somme toute, les 176 millions devront permettre à l'Anssi de :

  • créer des Cert (Computer Emergency Response Team – équipe de réponse aux incidents informatique) régionaux. Il s'agit d'une sorte de dématérialisation de la réponse à l'incident cybernétique. L'idée du gouvernement est que de petites agences permettront de réagir plus rapidement et efficacement sur le terrain, car certaines cyberattaques peuvent être jugulées avant de se répandre sur l’ensemble d’un système informatique ;
  • multiplier les diagnostics de sécurité auprès des collectivités territoriales et des hôpitaux. Selon le gouvernement, ces entités représentent en effet deux cibles particulièrement prisées des cybercriminels, en raison de la vétusté de leurs réseaux informatiques.

Source : PwC France, Cyber seek

Et vous ?

Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ?
Comment peut-on parvenir à inverser la tendance ?
Quel commentaire faites-vous de la stratégie française en matière de cybersécurité ? Quels sont les aspects qui vous paraissent les plus (les moins) pertinents ?

Voir aussi :

La France prévoit un budget de 1,6 milliard pour ses cybercombattants, leur effectif devrait également passer à 4000 d'ici 2025

2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

81 % des attaques au mobile financier seraient des ransomwares, selon un nouveau rapport d'Atlas VPN

Le montant total payé par les victimes de ransomware a augmenté de 311 % en 2020, pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies selon Chainalysis

Par appel téléphonique, des opérateurs derrière des ransomwares veulent intimider des victimes, qui souhaitent éviter de payer la rançon en tentant de restaurer le système depuis une sauvegarde

Une erreur dans cette actualité ? Signalez-nous-la !

23 commentaires
Commenter Signaler un problème
23JFK
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 21/05/2021 à 12:41
La raison, c'est que la courbe d'apprentissage est de plus en plus difficile avec une durée de validité des connaissances acquises de plus en plus courte.
11  1 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 21/05/2021 à 15:29
Hello,

Moi je trouve ça drôle.

Aujourd'hui, il manque 5 000 postes. Donc la réponse du gouvernement est de dire "on va dégager 176 millions sur 5 ans" pour recruter des gens. Mais ils sortent d'où ces gens ? Ils s'auto-forment tous sur developpez.com ?

Une solution ne serait-elle pas dans la formation ? Mais étrangement, je ne vois pas un mot là-dessus... Trop cher pour eux ?
9  1 
pascaldm
Avatar de pascaldm
Membre actif https://www.developpez.com
Le 28/05/2021 à 12:48
Eh oui, en cybersécurité le problème est de trouver des enseignants. J'ai fait ces dernières années des formations pour des écoles d'ingénieurs et une université, mais c'était plus pour des raisons d'intérêt général car la rétribution est vraiment dissuasive (heureusement que mon employeur maintenait ma rémunération ).

En France, la pénurie d'enseignants dans les matières "dures" de la cybersécurité (reverse engineering, analyse de malware, cryptographie, pentest, développement d'exploit, ...) rend difficile de combler cette disette. Ces domaines sont toujours investis par des autodidactes (diplômés ou non). Ici, il faut de la compétence, de la passion et de la persévérance pour exister. A contrario, il est plus facile et rapide de former des consultants spécialisés en analyse de risques et en gouvernance que des experts cybersécurité (ça tombe bien, il s'agit des profils formant le gros des troupes dont les entreprises ont besoin). Les profils experts quant à eux sont rares sur le marché. Ce sont des autodidactes dotés de talents dont le développement de l'expertise a exigé de nombreuses années...

Les formations actuelles vont permettre de répondre à la pénurie en gouvernance cybersécurité, mais la pénurie dans les métiers de l'expertise techniques vont persister encore longtemps, notamment en France ou la gestion de carrière des filières d'expertise fait défaut (sauf dans quelques rares industries). Après +30 ans d'expertise en cybersécurité, mes collègues d'antan ont quasiment tous évolué vers des carrières managériales et bien souvent dans d'autres secteurs à cause de l'absence d'opportunité d'évolution ou de mobilité. Mes directeurs me font souvent remarquer qu'il serait temps de grandir en devenant manager...

D'expérience, je constate régulièrement une inadéquation des recruteurs sur le domaine de la cybersécurité, que ce soit de la part des managers métier ou des RH. Les profils techniques sont atypiques et rares, par conséquent il est impératif de bien comprendre les attentes de ces candidats pour espérer les recruter. J'ai malheureusement vu des candidats de qualité écarté car il ne rentrait pas dans le moule du profil "corporate" ! Les recruteurs non spécialisés ne retiennent que des critères dans leur zone de confort, ce qui alimente l'entreprise en profils clones.
8  0 
inge3000
Avatar de inge3000
Membre régulier https://www.developpez.com
Le 21/05/2021 à 15:06
Se baser sur le nombre de postes ouverts pour juger de l'état du marché me semble hasardeux.

Beaucoup d'entreprises diffusent des annonces dans le simple but de se constituer un vivier de candidats.
8  1 
Pierre Louis Chevalier
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 21/05/2021 à 16:31
La demande explose, mais généralement si les informaticiens Cybersécurité sont des Bac+5 on ne peux pas les former en 5 minutes.
L'offre de formation Cybersécurité en France est mince, il y a une poignées d'écoles d'ingénieur CTI qui ont un cursus Cybersécurité, et du coté Master pas mieux, juste une poignée de Master en France pour la Cybersécurité.
Alors il y a les écoles privées, certaines font des trucs pas mal, comme le Groupe Ionis, ou évidement les écoles d'ingénieur du privé qui ont eu le label CTI (plus des labels spécifique Cybersécurité ), celles la sont très bien cotées.

Alors on pourrait dire : "il suffit d'ouvrir de nouveaux Masters Cybersécurité", oui mais pas évident :
- Les Fac sont toutes bourrées à craquer, les étudiants suivent les cours dans les escaliers, ou trouver de la place ?
- Ou recruter les profs de Facs ? qui a fait un Doctorat en Cybersécurité ?
- Ou trouver des étudiants en maths/science ? Les facs de science n'arrivent pas à recruter d'étudiants en France, le niveau de maths en France s'est écroulé totalement, les Master et les écoles d'ingénieurs à défaut de recruter en prépa ou en L2 info sont obligés de prendre aussi des DUT et des BTS pour compléter leurs effectifs...

Donc en France le problème se situe dès le collège : niveau de maths nul, résultat impossible de former beaucoup plus d'ingénieurs en cybersécurité, donc les hackers ont encore de beaux jours devant eux...

Aux USA c'est pas mieux, le niveau est aussi en baisse, et vu que les écoles du supérieur sont payantes tous le monde ne peux pas s'y précipiter...
6  0 
GLDavid
Avatar de GLDavid
Expert confirmé https://www.developpez.com
Le 25/05/2021 à 8:31
Bonjour

Mouais... l'état veut plus de gens bossant dans la cybersécurité mais... les entreprises embaucheront elles ces gens-là ?
Plus généralement, les entreprises sont-elles prêtes à changer leurs procédures pour plus de cybersécurité et d'intégrité des données ?
Je déploie des équipes pour remédier à ces problèmes de sécurité mais, nous déployons une fois que l'attaque a eu lieu malgré nos solutions de prévention.
Un exemple? 2017, une grosse pharma se fait attaquer par un ransomware: 1.4 milliard de dollars pour restaurer et comme pertes. On a bossé pour remédier son parc de PC de labo. Notez que cette société étrangère a décidé de mettre des mesures de sécurité même si au final elles s'avèrent peu confortable pour l'utilisateur. Cependant, pas de perte dans la production.
Maintenant? Une autre boîte pharma française s'est fait attaquer et pareil, on est intervenu après pour remédier ses postes labo. Par contre, pour la prévention, on repassera, c'est toujours de l'artisanal.
Une autre boîte dont je m'occupe pour migrer ses postes vers Win10. Au début, l'intégrité des données était super importante ! Maintenant? Elle ne l'est plus parce que si on compte data integrity dans le cahier des charges: i) ça coute trop cher; ii) ça met trop de temps pour migrer la dite application. Ils ont recruté un agent qualité pour l'intégrité des données depuis plus d'un an mais je n'ai rien vu comme changement, même mes clients le disent !
Pour moi, le problème est plus profond, c'est pas un problème de main d'oeuvre, c'est un problème de volonté pour déployer ces mesures de sécurité. Par ailleurs, on peut recruter tous les agents en cybersécurité du monde mais s'ils répondent à une DSI incompétente ou à une assurance qualité qui prétend tout savoir (faites ce que je dis, pas ce que je fais), le bénéfice est nul.

@++
6  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 26/05/2021 à 16:20
Hello,

Citation Envoyé par Ramram1 Voir le message
J'aimerais comprendre une chose, pourquoi es qu'on parle tout de suite de : formation spécialisé, de Bac +5, de talent, d'art mathématique, alors qu'en même temps on dit que la plupart des hackeurs ne sont que des "script kiddies", ou encore que les cybers criminels russe sont des autodidactes qui n'ont eu que pour seul activité leurs ordinateurs.
Il y a plusieurs choses dans ton poste, je vais tâcher d'être clair :
-> Des script kiddies, il y en a. Ce sont des gens qui utilisent les outils fabriqués par d'autres
-> Il y a ces gens qui conçoivent les outils ; généralement, ce sont des gens extrèmement qualifiés en conception logicielle
-> Ce n'est pas parce qu'une personne est autodidacte qu'elle n'est pas aussi compétente qu'une personne diplômée

Après, dans la sécurité, il y a énormément de postes différents. Celui qui fait des tests d'intrusion n'a pas les mêmes compétences que celui qui conçoit la sécurité des logiciels, et c'est encore un autre métier que de concevoir des plans de continuité (qui ont tous été activés en 2020 pour la pandémie, alors que beaucoup de gens pensaient que ce genre de choses ne servaient à rien), et ainsi de suite.

Citation Envoyé par GLDavid
c'est pas un problème de main d'oeuvre, c'est un problème de volonté
Tout le problème est là.
La sécurité est vue comme un centre de coût, c'est à dire que ça ne rapporte rien. Au mieux, dans certains domaines, ça permet de vendre un peu plus facilement. Mais ce n'est que trop rarement vu comme un mal nécessaire (ce qui nous sommes d'accord n'est déjà pas la panacée), et presque jamais comme un investissement ultra-rentable.
6  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/05/2021 à 11:11
1. Etablir le besoin en se basant sur les offres d'emploi publiées est une farce (par exemple, sur le marché suisse, un vrai poste à pourvoir génère de 10 à 20 offres d'emploi provenant de différents chasseurs de tête et autres SSII et je ne parle pas des annonces bidons servant à se créer une "collection de candidats au cas où" ou servant de pub à faibles coûts)

2. La cybersécurité est le parfait exemple d'un métier où la formation ne solutionne pas tout: Certes, il faut tout d'abord avoir des personnes ayant reçu une formation de base, mais sur cet effectif, il n'y aura que 1 ou 2% qui possèderont le "talent" (et là ce n'est pas le terme guignolesque des RH, on parle bien des compétences spécifiques que nécessite le métier) de faire ce métier.

3. Il est illusoire de conclure que la cybersécurité se résume à une multitude de spécialistes... La cybersécurité, c'est avant tout de respecter des règles simples de protection des données et des infrastructures. Quand une majorité des entreprises du monde auront compris qu'il est pas nécessaire de connecter tout et n'importe quoi au web, on aura suffisamment de spécialistes pour répondre aux besoins du marché.
4  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 21/05/2021 à 13:35
Reste aux pirates à faire le tour des petites annonces et ils se servent au choix...
3  0 
yolle
Avatar de yolle
Membre extrêmement actif https://www.developpez.com
Le 22/05/2021 à 13:14
Citation Envoyé par 23JFK Voir le message
La raison, c'est que la courbe d'apprentissage est de plus en plus difficile avec une durée de validité des connaissances acquises de plus en plus courte.
la plupart du Taf en info est orienté technique donc oui, tu est de plus en plus rapidement obsolète.

Citation Envoyé par inge3000 Voir le message
Se baser sur le nombre de postes ouverts pour juger de l'état du marché me semble hasardeux.

Beaucoup d'entreprises diffusent des annonces dans le simple but de se constituer un vivier de candidats.
Vivier de candidats, même demande de profils pour 15 SSII qui répondent a un même appel d'offre, etc etc .... le nombre de postes a pouvoir est toujours a prendre avec des "pincettes" en info.
3  0 
Commenter Signaler un problème