Entre le manque de candidats, la méconnaissance des opportunités de carrières et les besoins croissants des entreprises, recruter des experts en cybersécurité n’a probablement jamais été aussi difficile. À quel point peut-on parler de « pénurie de talents » en cybersécurité ? Comment mieux faire connaître les opportunités de carrière dans ce secteur ? Voici plusieurs pistes pour revaloriser les métiers de la cybersécurité.
L’importance croissante de la cybersécurité pour les entreprises
D’après le Baromètre de la cybersécurité des entreprises publié en 2023 par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 45 % des entreprises ont été victimes d’une cyberattaque réussie en 2022, avec des impacts forts sur le business dans 60 % des cas. Aux éventuelles pertes financières (perturbation de l’activité, frais de reconstruction du système d’information) s’ajoutent de potentielles conséquences juridiques (en cas de fuite de données, par exemple). La dégradation de l’image et de la réputation font aussi partie des conséquences des cyberattaques pour les entreprises.
Au-delà de la multiplication des menaces et de la sophistication des cyberattaques, les systèmes d’information se sont eux aussi complexifiés : augmentation du nombre de couches et de surcouches à protéger, recours massif au cloud, Shadow IT, interconnexion entre les différents actifs, etc. Développer une politique de sécurité efficace nécessite de s’entourer d’experts. Et c’est justement là que le bât blesse. La cybersécurité est un domaine exigeant, qui nécessite, en plus des pures compétences en informatique, une connaissance des notions de sécurité physique, de gouvernance, de conformité, etc.
Pénurie de talents en cybersécurité : les chiffres clés
Le vivier de talents disponibles n’est aujourd’hui pas suffisant pour répondre à la masse d’offres d’emploi disponibles en cybersécurité. D’après Wavestone, plus de 15 000 postes seraient « disponibles mais non couverts » dans le secteur de la cybersécurité (mars 2022). Au niveau mondial, Cybersecurity Ventures estime que le nombre de postes non pourvu est de 3,5 millions (avril 2023).
Quels sont précisément les profils qui manquent le plus à l’appel ? D’après le classement réalisé par CSB School et le cabinet de recrutement Clémentine, publié en mars 2023 dans Les Échos Start, les postes les plus recherchés dans le domaine de la cybersécurité sont : pentester, RSSI, spécialiste en cryptologie, jursite spécialisé dans la cybersécurité et expert en cybersécurité industrielle. Et la liste pourrait encore s’allonger : consultant en cybersécurité, chef de projet, architecte SSI, analyste SOC, expert en gestion de crise cyber, pour ne citer que les principaux postes.
3 pistes concrètes pour revaloriser les métiers de la cybersécurité
1. Mieux faire connaître la variété des métiers et les opportunités de carrière dans la cybersécurité
Le désamour pour les métiers de la cybersécurité est probablement dû (au moins pour partie) à leur méconnaissance et aux représentations qu’ils véhiculent. Entre le RSSI, expert technique qui murmure à l’oreille du dirigeant, et l’analyse SOC, noyé au quotidien sous les alertes de sécurité, il existe des dizaines de métiers différents, qui prennent en charge différentes activités :
- Gestion de la sécurité et pilotage des projets de sécurité,
- Conception et maintien d’un système d’information sécurisé,
- Gestion des incidents et des crises de sécurité,
- Conseil, services et recherche,
- Métiers connexes (DPD, manager de risques, responsable du contrôle interne, etc.).
Certes, les menaces cyber ont atteint un niveau tellement élevé que le stress, le turn-over et le burn-out font désormais partie de la réalité des métiers de la cybersécurité. Au-delà de la charge de travail, généralement (très) importante, ces métiers jouissent également de qualificatifs très valorisants : « utiles pour la société », « innovants », « exigeants » (source : Enquête 2022 sur l’attractivité et la représentation des métiers de la cybersécurité, ANSSI).
2. Renforcer l’éducation et la formation en cybersécurité
Si le secteur de la cybersécurité est dynamique et offre d’intéressantes perspectives de carrière (à la fois en termes de missions et de rémunération), force est de constater qu’il est encore mal connu du grand public et des étudiants. L’offre de formation existante ne parvient pas encore à combler les besoins des entreprises. Dans le cadre de sa « Stratégie nationale d’accélération pour la cybersécurité », l’État s’est donné pour objectif de créer 37 000 emplois dans ce secteur d’ici 2025. Pour atteindre cet objectif, d’importants moyens de formation seront déployés afin de former des spécialistes de niveau bac+2 à bac +8.
La création de synergies entre les acteurs de la filière cybersécurité et la formation des jeunes à ces métiers sera déterminante. Et la tâche est vaste : faire évoluer les formations et en créer de nouvelles afin qu’elles répondent réellement aux nouveaux besoins des entreprises, penser les programmes de formation avec les entreprises du secteur, accorder une grande place à la pratique au sein des formations, nouer des échanges avec des profils expérimentés, etc. Développer des partenariats avec des institutions de recherche est une autre option intéressante. Le CNRS en France ou l’ENISA en Europe mènent par des exemples des travaux dans plusieurs domaines cyber avec leurs partenaires (universités, écoles, organismes et entreprises).
3. Encourager la diversité et l’inclusion
Attirer davantage de femmes au sein de la filière cybersécurité est également l’un de ses plus gros défis. D’après l’enquête « Les profils de la cybersécurité » publiée par l’ANSSI en octobre 2021, les femmes représentaient à cette date 11 % des actifs dans le secteur. Toujours d’après l’ANSSI (Enquête 2022 sur l’attractivité et la représentation des métiers de la cybersécurité), les femmes représentent 14 % des étudiantes en cybersécurité, ce qui laisse entrevoir une (légère) augmentation des profils féminins dans la cybersécurité à mesure que ces étudiantes rejoindront le marché de l’emploi.
Plusieurs associations mènent d’ailleurs un travail de promotion des métiers de la cybersécurité auprès des femmes. C’est le cas de Women4Cyber France, dont l’objectif est de « promouvoir, encourager et soutenir la participation des femmes » dans le secteur. Autre association, le CEFCYS (CErcle des Femmes dans la CYberSécurité) travaille à « promouvoir et faire progresser la présence et le leadership des femmes » dans les métiers de la cybersécurité.
Le secteur de la cybersécurité aurait également beaucoup à gagner en favorisant davantage la diversité et l’inclusion et en ouvrant ses portes à des profils représentatifs de la société : jeunes éloignés de l’emploi, personnes en situation de handicap, candidats aux origines sociales et géographiques très diverses, profils en reconversion professionnelle, etc. Cette ouverture permettrait de mieux faire rayonner les enjeux cyber au sein de la société dans son ensemble, loin des clichés du geek à capuche et du sacro-saint diplôme d’ingénieur, aucun des deux ne reflétant la réalité et la diversité des métiers de la cybersécurité.
Et concrètement, que fait OverSOC pour revaloriser les métiers de la cybersécurité ?
À travers notre logiciel de cartographie, nous permettons aux organisations de regagner de la visibilité sur leurs données. Nous aidons les responsables de la cybersécurité à mieux faire comprendre leur travail technique auprès de leurs collaborateurs, afin de rendre ce travail plus efficace et moins fatigant. OverSOC entend dépasser l’aspect purement technique de la cybersécurité afin d’en donner une vision plus claire et de permettre une meilleure compréhension des enjeux cyber par l’ensemble des parties prenantes.
