La cybercriminalité aurait coûté 6000 milliards de dollars au monde entier rien qu’en 2021. Un chiffre vertigineux, qui ne cesse de grimper d’année en année. La gestion de ce risque commence enfin à devenir une priorité pour de nombreuses entreprises, mais une grave pénurie de compétences les empêche de rattraper leur retard. En France, il manquerait 15000 experts pour répondre à toutes les offres de postes dans le secteur.
«Nous souffrons d’un véritable manque de ressources, reconnaît Michel Van Den Berghe, le président du Campus Cyber inauguré en février à la Défense (Hauts-de-Seine). Lors de la création du Campus, nous avons interrogé des centaines de sociétés. Toutes nous ont assuré que ces tensions de recrutement étaient leur principale préoccupation.» Conscients de cette détresse, de plus en plus d’établissements privés ouvrent des cursus spécifiques afin de former les talents cyber de demain. Les entreprises spécialisées dans ce domaine voient ces initiatives d’un bon œil, mais doutent qu’elles répondent entièrement à leurs besoins. Afin de mettre toutes les chances de leur côté, certaines d’entre elles ont décidé de s’impliquer pleinement dans l’enseignement.
Airbus s’est lancé dans l’aventure en septembre, en créant à Toulouse (Haute-Garonne) un diplôme de niveau licence focalisé sur la cybersécurité dans l’aéronautique. Âgés de 20 à 22 ans, les 24 étudiants de cette première promotion recevront 550 heures de cours, dispensées en partie par des salariés ayant accepté de coiffer une casquette de professeur. L’apprentissage obligatoire leur permettra de se confronter à des situations concrètes et d’avoir déjà un pied dans l’entreprise. «Nous cherchons à fidéliser une promotion entière d’étudiants en les formant et en les embauchant à l’issue de leur formation, dévoile Catherine Jestin, la vice-présidente exécutive digital et gestion de l’information du groupe. À ma connaissance, c’est une première en France sur cette thématique.»
Un CDI dès la sortie
De son côté, Orange a choisi de travailler main dans la main avec les écoles. «Les multiples partenariats que nous avons montés agissent comme un moteur, explique Éric Dupuis, le directeur d’Orange Campus Cyber. Nous apportons notre expertise technologique et professionnelle, mais nous avons besoin d’être épaulés sur l’aspect académique.» Le spécialiste des télécoms s’est notamment allié avec le Conservatoire national des arts et métiers pour proposer un parcours d’ingénieur en cybersécurité. Chaque année, une trentaine de jeunes issus d’un cursus informatique repartent avec un diplôme équivalent à un master, après un ou deux ans de formation. «On leur propose un CDI dès la sortie, précise le directeur. Ils ont bien sûr la possibilité d’aller ailleurs, mais 99 % d’entre eux décident de continuer leur carrière chez nous.»
Une stratégie qui semble également fonctionner chez Thales, un autre poids lourd de la cybersécurité tricolore. Selon Pierre-Yves Jolivet, le directeur général et vice-président des activités de cyberdéfense du groupe, les partenariats sont d’autant plus fructueux lorsqu’ils sont développés près de "fortes implantations régionales". Ce n’est pas un hasard si le géant de l’électronique a participé au lancement en 2021 de la chaire dédiée à la cybersécurité de l’école d’ingénieurs Eseo. Le campus historique de l’Eseo et l’un des principaux pôles de Thales pour la sécurité informatique sont distants d’une cinquantaine de kilomètres, le premier installé à Angers, le second à Cholet, dans le Maine-et-Loire. «Dans certains cas, nous possédons même un siège au sein du conseil scientifique des écoles et pouvons donner notre avis sur le programme, développe Pierre-Yves Jolivet. C’est extrêmement important, parce que ça nous permet de préciser nos besoins.»
Si les entreprises apprécient particulièrement les profils hyperqualifiés, elles prennent désormais conscience qu’elles doivent aussi concentrer leurs efforts sur des formations plus courtes. «Travailler dans la cyber ne nécessite pas forcément un bac +5 ou une thèse, assure Bernard Ourghanlian, le directeur technique de Microsoft France. Il existe des métiers de techniciens dans les SOC [centres de réponses à incident, ndlr] qui ne requièrent pas de connaissances extrêmement pointues.» En inculquant les bases indispensables à des fonctions bien spécifiques, comme celle d’opérateur sécurité cloud et hybride, la multinationale américaine espère former 10 000 professionnels de la cybersécurité en France d’ici à 2022.
Former ses propres salariés
En quelques semaines seulement, l’Orange Cyberdefense Academy forme elle aussi les passionnés d’informatique souhaitant maîtriser certaines technologies afin de devenir analyste SOC ou consultant, par exemple. Des modules qui attirent des profils extérieurs au groupe, mais aussi ses propres salariés. Une aubaine car, selon Michel Van Den Berghe, «la formation continue est essentielle, les écoles ne peuvent pas apaiser les tensions de recrutement toutes seules». Un programme similaire est en cours de réflexion chez Thales, où les mots "upskilling" et "reskilling" (montée en compétences et reconversion) ne font plus froncer les sourcils depuis longtemps. «Même si les personnes formées ne restent pas au sein de notre société, nous ne serons pas perdants pour autant, argue Pierre-Yves Jolivet. Plus le niveau global de la France en termes de cyber montera, mieux nous serons protégés.»
Diversifier les profils
Michel Van Den Berghe appelle cependant les entreprises à aller encore plus loin. «On aura beau créer toutes les formations possibles, cela ne résoudra pas les problèmes de pénurie de talents tant que l’on ne travaillera pas sur l’attractivité de la cybersécurité.» Malgré son plein-emploi et ses salaires parfois mirobolants, le secteur peine à faire oublier l’éternel cliché du hacker à capuche. «Il faut insister sur la pluralité des métiers et sur leur utilité profonde, reprend le président du Campus Cyber. Ces experts incarnent les pompiers du numérique.»
Le premier objectif consistera à convaincre les femmes, qui ne pèsent que 11 % de l’effectif de la filière en France… Heureusement, les initiatives visant à combler ce fossé se multiplient. «Nous menons des opérations de sensibilisation dans les collèges et les lycées afin de démystifier le sujet et nous sommes particulièrement vigilants lors de nos recrutements», assure Éric Dupuis. La prochaine étape sera d’embarquer également les étudiants évoluant en dehors du parcours scolaire traditionnel. «J’ai redoublé ma seconde, ma première et ma terminale, confie Michel Van Den Berghe. Cela ne m’a empêché de diriger Orange Cyberdefense pendant sept ans.»
