Face à des besoins qui explosent, un manque cruel de compétences

Le chiffre est souvent agité comme un chiffon rouge : il faudrait former 4 millions de personnes pour répondre aux besoins de la cybersécurité à l’échelle mondiale*. Si de telles estimations semblent difficiles à valider, il ne fait pas de doute que le marché manque cruellement de compétences (en nombre et en valeur) pour endiguer la montée en puissance exponentielle du risque et préparer les organisations aux enjeux associés. La France ne fait pas exception. La question des talents figure aujour­d’hui au rang des préoccupations majeures des grandes entreprises et institutions. Selon l’Association pour l’emploi des cadres (Apec), les métiers de la cyberdéfense sont en 2022 les plus en tension, hautement recherchés par 68 % des entreprises. Le ministère des Armées a lui-même annoncé le recrutement de 2 000 cybercombattants d’ici trois ans.

Des employeurs contraints de recruter des ingénieurs généralistes

Le manque de compétences est explicitement pointé par l’Alliance pour la confiance numérique dans son rapport annuel de 2020 : « Les premières embauches de développeurs spécialisés dans un domaine spécifique de la cybersécurité (public key infrastructure, cryptographie, etc.) sont quasiment impossibles.

Quatre millions de personnes
à former au niveau mondial

Les entreprises sont contraintes d’embaucher, dans le meilleur des cas, des développeurs formés à la cybersécurité dans son ensemble, voire des ingénieurs généralistes. » Facteur aggravant : dans un contexte de concurrence mondiale, les entreprises françaises, a fortiori PME et ETI, ont du mal à aligner les niveaux de salaire sur ceux des entreprises étrangères. Une distorsion de rémunération qui, à l’intérieur des frontières hexagonales, surpénalise également les institutions publiques, moins généreuses que le secteur privé. Face à la pénurie de talents, le constat est unanime : il faut accélérer le développement des formations susceptibles de pourvoir tous les niveaux de diplôme, qualification ou certification, et alimenter tous les métiers, en cursus initial comme en formation continue. Le ministère de l’Intérieur a ainsi annoncé l’ouverture, à Lille, du CNF-Cyber ayant vocation à former jusqu’à 200 stagiaires policiers, gendarmes et douaniers simultanément.

Des stéréotypes têtus

Selon Etudestech.com, site de référence sur les formations numériques, sur les 550 000 étudiants des groupes privés d’enseignement supérieur formés en 2020 en France, seuls 800 ont été formés à la cybersécurité via des formations spécialisées, généralement post-Master ingénieur. Un chiffre qui devrait grimper en 2022 à 1 100… Ce qui permettrait de couvrir un petit cinquième de la demande nationale. Les écoles spécialisées dans la cybersécurité se comptant encore en France sur les doigts d’une main, l’un des leviers d’acculturation se trouve sans doute dans la mise à mal de stéréotypes particulièrement têtus. « La cybersécurité reste perçue comme un domaine réservé au « garçon/fort en maths/bac scientifique/école d’ingénieur » », ce qui contribue à agir comme un repoussoir pour tous les autres profils minoritaires, femmes, personnes en reconversion professionnelle ou diplômés de filières non scientifiques. Dans un domaine faisant face à une telle pénurie de talents, il est urgent d’élargir le champ des possibles », défend Patrice Chelim, fondateur de la CBS School, école dédiée à la cybersécurité qui a ouvert ses portes, à Lyon, en septembre 2022. 

* Enquête mondiale menée par l’ESG, l’ISSA et (ISC)2