Cybersécurité : une chasse de têtes ouverte en permanence
Un début de mobilisation semble se faire autour de la pénurie récurrente d'ingénieurs et d'experts en cybersécurité et cyberdéfense de bon niveau. Mais au delà d'initiatives de formation initiale et continue, pour cette spécialité, il est aussi question d'un déficit d'attractivité à résoudre.
Lexsi, PME de 150 salariés, compte recruter 50 spécialistes sécurité IT cette année. Compte tenu d'un turnover d'environ 15%, symptomatique de la tension existant sur ce créneau d'emplois IT. Chez Hapsis (50 salariés) comme chez Netasq (120 salariés), cinq postes d'experts sont ouverts en permanence. Même constat de chasse continue de la part de Jean-Michel Orozco, directeur général ventes et programmes de Cassidian, filiale d'EADS dédiée à la cybersécurité (400 salariés) qui depuis Monaco (Assises de la Sécurité) a présenté l'ambition de croissance de sa société. Soit, à l'horizon de cinq ans, un chiffre d'affaires multiplié par dix (50 millions d'euros aujourd'hui). Un objectif qui dépend autant d'une politique d'acquisitions (dernière en date, celle de Netasq) que de la capacité à trouver les compétences voulues pour assumer la croissance organique.
Sur un marché de produits et services en croissance de 15% par an, force est de constater une réelle distorsion entre l'offre et la demande de compétences. Distorsion en quantité et en qualité. « On chasse tous dans la même cour », résume Pierre Polette, président de Lexsi. C'est-à-dire : ni trop jeunes dans le métier, ni trop chers. Et autant que possible déjà opérationnels sur le terrain des investigations numériques (forensics) et du traitement des menaces ou APT (Advanced Persistent Threat). Donc, dans la tranche des 3 à 5 ans d'expérience. Comme dans d'autres spécialités IT, dira-t-on. A ceci près que ce créneau d'expertise est récent. « Il y a trois ans, dans le milieu industriel, avec cette spécialité en exergue, on aurait été pris pour des aliens », remarque Jean-Michel Orozco (Cassidian).
Sans compter qu'avec le développement de la mobilité, les rôles évoluent. Avec notamment un nouveau profil de poste de responsable (Mobility Information System Officer ou Miso). « Dans ce contexte, on recrute des jeunes et on les forme. Et pour les profils seniors, on mise sur la cooptation, en faisant jouer le réseau. Je cherche tel type de profil ; qui peux-tu me présenter ? », témoigne Arnaud Cassagne, directeur technique de Nomios. Une chose est sûre : d'avis général, la spécialité cybersécurité ou cyberdéfense est insuffisamment alimentée en amont par la formation initiale.
Un flux entrant à multiplier par deux ou trois
« Des cursus spécialisés, il en arrive environ 250 jeunes formés par an, là où il en faudrait 2500», lance Alain Establier, éditeur de la lettre « Security Defence Business Review ». Le propos est (volontairement!) provocateur. Histoire de souligner le retard de la prise en compte de ce besoin. Un retard quasiment « culturel » dans un pays qui forme des champions du cryptage et trop peu de « pen testers », spécialistes des tests d'intrusion ou de la détection de malwares. « Comme en Chine, où tous les élèves ingénieurs ont une sensibilisation avancée au hacking », glisse cet observateur. Encore faut-il pouvoir accueillir ces jeunes experts et en assumer le coût, tant chez les prestataires que dans les entreprises (ou les administrations) clientes. Ce que ne démentiront sûrement pas l'ANSSI (Agence nationale pour la sécurité des systèmes d'information) ou le ministère de la Défense qui annoncent respectivement un renfort de 80 embauches cette année (pour l'Agence) et 200 embauches à l'horizon 2015 (pour la DGA, direction générale de l'armement). « En multipliant le flux entrant par deux ou trois, il serait absorbé immédiatement », estime Pierre Polette.
Reste que le problème n'est pas seulement quantitatif. Mais aussi une question de ciblage des compétences recherchées. Au delà des savoir-faire techniques, il y a peu de motivation à exercer dans ce milieu « réputé moins noble », regrette Alain Establier. Et ce, faute de prise de conscience par les jeunes générations qu'il y a là un créneau porteur, maintenant et à long terme. Et pas seulement pour hyper-diplômés. « On a autant besoin de bac+3 que de bac+5 », estime ce dernier.
D'aucuns veulent confronter sans tabou ce déficit d'attractivité. « A Singapour, on forme des jeunes de 18 ans qui, à 22 ans, ont toutes les compétences voulues pour être considérés comme experts », remarque Pierre Polette. Ici et là, des réflexions -entre milieu académique et employeurs, industriels ou institutionnels- sont conduites pour remédier à un horizon plus ou moins proche à ce décalage persistant entre offre et demande de compétences. Chez Cassidian, le centre de formation (à usage interne et pour la formation de personnel d'entreprises clientes) est non seulement source de business. « La demande est croissante sur des sujets pointus, concernant la prise en compte de la mobilité par exemple », confie Jean-Michel Orozco. Cette expérience de formation continue alimente également la concertation menée avec Telecom ParisTech pour une éventuelle ouverture de cursus dédié. A l'école de Saint-Cyr Coëtquidan, dans le milieu de la Défense cette fois, une Chaire spécialisée est lancée depuis juillet dernier (avec Sogeti et Thalès), confiée à Daniel Ventre, directeur de recherche au CNRS. Avec pour objectifs premiers, le renforcement de la formation des officiers en matière de cyberdéfense et une ouverture à la formation continue de décideurs, ainsi que la mise en place de programmes de recherche avec des partenaires publics et privés, civils et militaires, français et étrangers. Une initiative dont le contenu, en cours de définition, devrait être précisé avant la fin de l'année.