Accueil La cybersécurité, c’est aussi une affaire de formation

La cybersécurité, c’est aussi une affaire de formation

Hervé Schauer

 

 

Passage en revue
de quelques idées reçues

 

Dans la cybersécurité nous entendons souvent dire : “Il manque 10 000 experts cybersécurité », « Il y a 3 000 postes à pourvoir », et aussi « Il n’y a pas de formation adaptée”. Rappelons-nous que la cybersécurité est une passion avant d’être un métier. La passion se suscite, mais ne se décrète pas. Passons en revue quelques idées reçues sur le sujet.

 

« Il manque 10 000 experts cybersécurité »

En ce qui concerne les formations initiales, les taux de remplissage de la pléthore d’enseignements en cybersécurité présents sur le site de l’ANSSI montrent qu’il y a plus d’offres que de demandes, contrairement aux idées reçues.

La majorité des experts expérimentés ont fait des études d’informatique, pas de cybersécurité. Ils ont tout appris par eux-mêmes sur le sujet. Et ceux qui ont suivi des études en cybersécurité ont parfois des lacunes en Active Directory, pourtant au coeur des SI de toutes les entreprises, et souvent ne travaillent pas dans la cyber sécurité, malgré leurs études spécialisées.

Formation continue

La cybersécurité, comme de nombreux métiers technologiques, connait des changements et des mises à jour en permanence, ce qui justifie de l’importance de la formation continue dans le domaine.
Pourtant, le marché de la formation continue en cybersécurité, certes difficile à mesurer, parait anecdotique. En additionnant les diverses formes de formation des acteurs spécialisés, et des grands catalogues qui proposent des formations dans tous les domaines, on pourrait l’estimer en cumul, avec un ordre de grandeur de 10 à 12 millions d’euros. Si on le compare au marché français global de la cybersécurité, estimé à 2,5 à 3 milliards d’euros par divers analystes comme IDC, Gartner ou le CXP, on constate le poids symbolique de la formation continue : 0,4%.
La compétence en cybersécurité compterait-elle pour si peu ?

Le vrai coût de la formation

Le coût d’une formation est avant tout le coût de l’ingénieur qui la suit pour son employeur. Ce coût est parfois oublié par certains services formation, alors que son coût analytique, de temps passé salarié et sans donner lieu à facturation est beaucoup plus élevé que le coût de la formation elle-même.
Au lieu de licencier un ingénieur télécom, formez-le à la cybersécurité.
Certains ingénieurs télécom ou chef de projet sont moins utiles que dans le passé pour l’entreprise. Il faudrait tenter la reconversion en cybersécurité.
Il suffit d’y aller progressivement : 2 jours tests pour vérifier que cela les intéresse, une semaine avec des travaux pratiques pour qu’ils mettent « les mains dans le cambouis », enfin en cas de succès de 4 à 6 semaines de formation. Un quart d’entre eux environ se découvriront une vocation pour la cybersécurité qu’ils ignoraient et qu’il fallait susciter. Comparé au licenciement d’un ingénieur dont une grande entreprise n’a plus l’utilité, il n’y a pas plus rentable comme programme de reconversion !

La formation est la meilleure sensibilisation

La sensibilisation est un des marronniers de la cybersécurité : il faut faire changer les comportements. Et il est vrai que quand tous les acteurs de l’entreprise intègrent la sécurité dans leur processus, simplement en y pensant systématiquement, l’entreprise y gagne un avantage concurrentiel.
Un excellent moyen de sensibilisation est la formation, et pour les informaticiens, c’est même le seul moyen à mes yeux. Dans tous les cas, la formation est la meilleure des sensibilisations.
Vous pouvez envoyer un développeur web à une formation aux tests d’intrusions web, un administrateur Windows en formation à la sécurité Windows, un administrateur réseau à une formation à la détection et la réponse à incidents », etc.
Plutôt que des séances de sensibilisation spécifique, il est plus performant d’intégrer la sensibilisation cybersécurité dans la formation métier elle-même.

E-learning

En entreprise les gens doivent suivre trop d’e-learning obligatoire, par exemple sur la sécurité incendie, la sécurité au travail, sur l’éthique, la lutte contre le harcèlement, les conflits d’intérêts, la lutte contre le blanchiment, etc. Ajoutez à tout cela une sensibilisation en cybersécurité et à la protection des données à caractère personnel n’est alors pas toujours la meilleure idée. Je recommande de former… le formateur à la cybersécurité et à la protection des données à caractère personnel. Ainsi c’est lui qui enseigne à son public à la fois le coeur de métier et nos bonnes pratiques pour plus de réussite dans le changement des comportements.

Certification

Le stagiaire a besoin d’objectifs, d’un but à atteindre, d’un challenge, la certification à l’issue de la formation le lui donne. » Le donneur d’ordre ou l’employeur n’a pas la compétence pour juger, il ne peut que se baser sur des certifications sur lesquelles il espère que la triche sera moindre. Toutes les certifications ne se valent pas. Enfin, n’oubliez pas qu’il faut des connaissances, mais aussi de l’expérience, du savoir-faire et du savoir-être qui ne peuvent pas être facilement visibles dans une certification. La certification de compétence est donc un prérequis indispensable, mais elle ne peut suffire.

Formateurs

Lapalisse dirait qu’il n’y a pas de formation sans formateurs. Le formateur est une part capitale de la formation. Si les capacités didactiques sont indispensables, les formateurs doivent être expérimentés. Expérimentés ne veut pas dire âgés, certains ingénieurs jeunes sont déjà expérimentés. Les formateurs doivent avoir l’expérience du terrain de ce qu’ils enseignent, et la formation continue ne peut pas être uniquement théorique, elle doit toujours être pratique.

Quid des formateurs ouvriers spécialisés qui défilent un support de cours et d’exercices qu’ils auraient été bien incapables de concevoir ? Mutualiser en équipe est positif cependant l’industrialisation atteint très vite ses limites quand le formateur ne peut ni sortir de son support, ni répondre aux questions, ni illustrer par des cas concrets. Exigez la biographie ou le CV des formateurs et vérifiez qu’ils sont du « terrain », qu’ils soient consultants, analystes cybersécurité ou RSSI.

Le formateur délivre l’acquis de son expérience, mais il s’enrichit aussi des retours des stagiaires. La formation interentreprises est un lieu privilégié d’échanges et de partage sur des techniques communes à des domaines d’activité diversifiés, cet atout de la formation ne doit pas être oublié.

Donnons à la formation le poids qu’elle mérite.

La formation continue en cybersécurité n’a pas encore la place qu’elle mérite dans l’arsenal des mesures de sécurité. Il conviendrait de réorienter massivement les budgets vers celle-ci, et de profiter de la qualité de l’offre à disposition.

 

L’auteur

Inventeur du “proxy firewall” en 1991, Hervé Schauer a dirigé durant 29 ans son cabinet de conseil et d’audit en cybersécurité HSC avant de se consacrer en 2018 à la formation avec HS2.