Pour répondre aux besoins des entreprises et des administrations, il faut élargir le recrutement aux personnes en dehors du profil type d’ingénieur fort en maths, notamment aux professionnels qui se reconvertissent, met en avant Patrice Chelim, cofondateur de la CSB School (Cybersecurity Business School) à Lyon. Cet ancien RSSI chez Solvay a répondu à nos questions.
Quels sont les besoins en compétences cyber aujourd’hui en France ?
La France doit former 5 000 personnes par an d’ici à 2030 pour répondre aux besoins en recrutement des entreprises et des administrations publiques en cybersécurité. Il existe une diversité d’identités numériques à protéger face aux cyberattaques. Cela reste certes un marché de niche, d’expertise et de confiance. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), il réunit 30 métiers différents.
L’offre de formation cyber est-elle suffisante ?
Les spécialités de fin de cursus de diplôme d’ingénieur ou de bac+5 en informatique sont insuffisantes pour répondre aux besoins de recrutement du marché. Il faut aussi des cursus spécialisés, en formation initiale ou continue. Remarquons que les profils recherchés sur le marché de l’emploi cyber sont à 69 % des profils non ingénieurs. Il y a un vivier de compétences encore inexploitées dans la reconversion. Les entreprises veulent des bac+5 car ils sont plus matures que les bac+3 au terme de leur formation initiale. Or, l’expérience professionnelle apporte des compétences métiers et de la maturité, plus que le niveau de diplôme.
Je fais de la sensibilisation aux métiers de la cybersécurité auprès des élèves du secondaire, et des demandeurs d’emploi à France Travail. Il faut dépasser l’image du hacker éthique qui continue aujourd’hui à avoir un fort pouvoir d’attractivité. Certes, il y a des pentester qui réalisent des tests d’intrusion, mais ce n’est qu’un métier parmi les trente de la cybersécurité. Et il faut répéter que la cybersécurité n’est pas réservée aux hommes, aux techniciens et aux forts en maths, afin de démocratiser les métiers. Elle réunit 30 fonctions, qui ne sont pas tous techniques. On n’a pas besoin que d’ingénieurs.
« La cybersécurité réunit 30 fonctions, qui ne sont pas tous techniques. »
Comment se passe le recrutement de professionnels de la cyber ?
Les entreprises ont du mal à qualifier le besoin, notamment car encore aujourd’hui il y a beaucoup d’autodidactes dans la cyber. Un recrutement qui fonctionne nécessite un alignement entre la DRH, la direction et le manager opérationnel cyber, qui doit prendre le temps d’accueillir la nouvelle recrue.
Comment se passe l’intégration des nouveaux salariés ?
Les équipes cyber étant sous-staffées, manquent de temps pour accompagner et intégrer le nouveau salarié, et le faire monter en compétences. Or la montée en compétences est indispensable pour les personnes en reconversion. Au bout d’une formation de 12 à 15 mois, personne ne peut se prétendre expert en cybersécurité. Sont experts ceux qui ont appris leur métier sur le terrain pendant dix ans.
Comment choisir sa formation en cybersécurité ?
Le marché de la formation cyber doit se consolider. Il existe aujourd’hui des formations de faible qualité. La formation en mode projet, avec des projets à réaliser en groupe sans cours, n’est pas la seule méthode pédagogique à appliquer. Il faut un minimum de cours et d’encadrement, tout en autonomisant les élèves.
Je conseille de s’orienter vers les formations qui disposent du label SecNumEdu délivré par l’ANSSI. 68 formations initiales aujourd’hui en disposent, ainsi que 40 formations continues. Il faut s’assurer également du contenu du diplôme, vérifier que le corps enseignant comprend des intervenants du monde professionnel, et les équipements mis à disposition pour s’exercer. Je recommande de parler aux anciens étudiants, de se déplacer sur place pour voir les locaux.
Quel conseil donneriez-vous aux nouveaux professionnels de la cybersécurité ?
La cyber évolue énormément, aussi faut-il faire une veille régulière.
