C’est le même refrain d’année en année : les experts en cybersécurité sont en nombre insuffisant au regard des besoins des organisations de tous types dans les secteurs public et privé. Certains rapports font même état de ce que la situation va en s’intensifiant. Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ? Les USA font une mise à jour de leur situation en la matière. L’administration Biden annonce une initiative destinée à créer plus de programmes d’apprentissage en cybersécurité et en assurer la promotion auprès des travailleurs et des potentiels demandeurs d’emplois.L'administration vient de faire l’annonce d’un plan visant à créer des centaines de programmes d'apprentissage avec le secteur privé afin d'étoffer la main-d'œuvre nationale en matière de cybersécurité et de se défendre contre une vague croissante de violations de données, d'attaques par ransomware et d'autres incidents de piratage. En 120 jours, le gouvernement américain collaborera avec les employeurs pour établir des programmes d'apprentissage dans le secteur de la cybersécurité.
L'initiative est financée par un programme plus large de 500 millions de dollars du ministère du commerce, connu sous le nom de "Good Jobs Challenge", et sera particulièrement axée sur le recrutement de jeunes, de femmes et de minorités pour les former et les faire travailler dans le domaine de la cybersécurité.
L'engagement du gouvernement américain met en évidence ce que les responsables décrivent comme un manque critique de professionnels de la cybersécurité, tant dans le secteur public que privé, qui peuvent aider à protéger la nation contre les adversaires étrangers et les cybercriminels. Il y a quelques mois, on estimait à 500 000 (chiffres du département du Commerce US) le nombre de postes non pourvus dans le domaine de la cybersécurité aux États-Unis, mais aujourd'hui ce chiffre a explosé pour atteindre plus de 700 000, soit une augmentation de 40 %.
Ces dernières années, un rythme soutenu de cyberattaques visant des agences gouvernementales, des institutions financières, des organisations du domaine de la santé et d'autres secteurs a démontré la vulnérabilité du pays dans le cyberespace, mettant en évidence le manque de professionnels de la sécurité informatique formés et alarmant les experts qui ont passé des années à suivre la croissance des groupes de pirates informatiques.
La pénurie de talents dans la filière est globale
En réalité, le déficit de compétences en cybersécurité n’est pas un problème régional ou national, mais mondial. La filière cybersécurité est confrontée à une pénurie mondiale qui tourne autour de 3 millions de personnes qualifiées, selon les données de différents rapports.
C’est la raison pour laquelle Microsoft annonce son Plan Compétences Cybersécurité : «Avec ce plan de formation d’envergure nationale, nous avons pour ambition de former 10 000 nouveaux professionnels de la cybersécurité d’ici 2025, et comptons renforcer les compétences des professionnels du secteur via nos programmes de formation continue. Cette année, déjà 10 000 d’entre eux ont été touchés par ces programmes, qui sont essentiels à l’heure où le nombre de cyberattaques augmente. Je suis convaincue du potentiel de notre engagement aux côtés de partenaires experts et souhaite que toutes celles et ceux qui le souhaitent, puissent embrasser une carrière dans la cybersécurité, quel que soit leur profil. »
L’entreprise va donc participer à la formation des demandeurs d’emploi via l’ouverture d’une Ecole Cyber Microsoft dont l’ambition est de former 100 demandeurs d’emploi dès la première année. Cette nouvelle offre de formation en cybersécurité, développée en partenariat avec Simplon, propose des formations destinées à tous les demandeurs d’emploi sans prérequis de diplôme ni d’expérience préalable dans le domaine.
Elle entend en sus former les professionnels déjà en poste au travers du programme Enterprise Skills Initiative (ESI) destiné aux clients et partenaires de Microsoft et qui offre toute une palette de modalités de formations (modules autonomes en ligne sur Microsoft Learn, cours avec instructeurs, Labs, OpenHacks, Cloud Games, préparation aux certifications). Le Cybersecurity Institute, en partenariat avec Avanade, s’adresse aux professionnels souhaitant monter en compétences. Ce programme, d’une durée de 2 mois, intègre des modules théoriques et des modules de travaux pratiques. Conçus pour les profils expérimentés en infrastructure ou cloud, le Cybersecurity Institute a pour vocation de former des professionnels souhaitant enrichir leurs compétences et devenir opérationnels rapidement sur les problématiques de cybersécurité dans les équipes d’Avanade.
Microsoft entend en plus faire dans la sensibilisation des plus jeunes aux bonnes pratiques de la cybersécurité et à la découverte de ses métiers. L’entreprise mettra son kit pédagique baptisé « la cyberécurité, mon futur métier ». Destiné aux lycéens, ce guide réalisé par des experts cybersécurité de Microsoft vise à donner des conseils de base pour se prémunir contre les attaques, mais aussi faire découvrir aux plus jeunes les différents métiers du secteur tout en balayant les idées reçues sur ces professions. Le kit pourra être utilisé par des enseignants en classe ou par des professionnels de la cybersécurité dans des forums, des salons d’orientation et d’emploi destinés aux lycées et étudiants. Le kit comprend un guide participant ainsi qu’un guide intervenant pour faciliter l’animation des différentes séquences de sensibilisation. Il est mis à disposition publiquement sous licence Creative Commons sur Github à l’adresse suivante : aka.ms/cyberkit. Une première expérimentation réussie avec les lycéens de la ville d’Issy-les-Moulineaux a eu lieu en avril dernier.
L’initiative de Microsoft fait suite à l’annonce par le gouvernement français d’un plan de renforcement de la résilience de son cyberespace. L’objectif global via ce dernier est de développer le secteur de la cybersécurité. Il intègre deux objectifs spécifiques à savoir : faire émerger de nouveaux « talents français », et renforcer la résilience du secteur public. L’annonce intervenait alors que le pays sortait de deux cas d'attaques, notamment celles contre les hôpitaux de Dax et de Villefranche-sur-Saône.
Le point qui attire le plus l'attention est le budget prévu par le gouvernement pour atteindre ces objectifs d'ici cinq ans. En tout, l'État français prévoirait de consacrer 1 milliard d’euros d’investissements à ce secteur au cours des cinq prochaines. Selon les informations actuellement disponibles sur le sujet, la moitié de ce budget proviendrait directement des caisses de l’État. Ceux qui seront chargés de la mission devront œuvrer pour relever le niveau de sécurité dans le public (hôpitaux, collectivités) et dans le privé ; et développer la filière de la cybersécurité pour créer une alternative française aux outils majoritairement américains.
Le plan prévoit que plus de talents français de la cybersécurité seront joints au projet. De 37 000 emplois, la stratégie du gouvernement devrait permettre d'atteindre 80 000 emplois d'ici 2025, doublant ainsi le nombre actuel travaillant dans le secteur. Par ailleurs, Emmanuel Macron et son équipe espèrent également que ce plan de relance leur permette de doubler, voire tripler le chiffre du secteur français de la cybersécurité pour atteindre 25 milliards d'euros sur la période annoncée. Dans les grandes lignes, le gouvernement découpe sa stratégie comme suit :
- plus de la moitié des fonds, soit plus de 500 millions d’euros, iront directement à la recherche. Comme expliqué plus haut, à travers ces fonds, le gouvernement veut développer et utiliser davantage d'outils français en lieu et place des outils américains majoritairement présents dans l'administration et dans le secteur privé ; financer des centres de recherche publics, et établir des partenariats public-privé pour accélérer la recherche d’innovations de pointe ;
- le gouvernement va utiliser 200 millions pour faire émerger au moins trois nouveaux cadors du secteur de la cybersécurité, en particulier des startups devenues « licornes » (valorisées à plus d’un milliard d’euros). Cela dit, le gouvernement risque d'avoir des soucis pour mettre en exécution cet aspect de son plan, car, sur les 10 licornes françaises, aucune n’évolue actuellement dans le domaine. Mieux, deux des startups les plus en vue du secteur, Alsid et Sqreed, ont été récemment rachetées par des entreprises américaines ;
- une partie de l'investissement sera orientée vers la finition et à l'ouverture du Campus Cyber, symbole de la stratégie française. C'est un projet du Président de la République consistant en un grand bâtiment de plus de 20 000 m2, qui va regrouper une soixantaine d’organisations : grands groupes, des PME, mais aussi des organismes publics, des associations, ou encore des startups.
Grosso modo, Microsoft entend étendre des initiatives similaires à plus d’une vingtaine de pays de par le monde : Australie, Belgique, Brésil, Canada, Colombie, Danemark, Allemagne, Inde, Irlande, Israël, Italie, Japon, Corée, Mexique, Nouvelle-Zélande, Norvège, Pologne, Roumanie, Afrique du Sud, Suède, Suisse et Royaume-Uni.
« Ces pays présentent un risque élevé de cybermenace, associé à un écart important dans leurs effectifs de cybersécurité, tant en termes de nombre de professionnels employés dans le domaine de la cybersécurité que de demande, ainsi qu'à un manque de diversité », souligne Microsoft.
Sources : Dol, Microsoft
Et vous ?
Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ? Comment peut-on parvenir à inverser la tendance ? Quel commentaire faites-vous de la stratégie du pays dans lequel vous travaillez en matière de cybersécurité ? Quels sont les aspects qui vous paraissent les plus (les moins) pertinents ?Voir aussi :
La France prévoit un budget de 1,6 milliard pour ses cybercombattants, leur effectif devrait également passer à 4000 d'ici 2025 2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense 81 % des attaques au mobile financier seraient des ransomwares, selon un nouveau rapport d'Atlas VPN Le montant total payé par les victimes de ransomware a augmenté de 311 % en 2020, pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies selon Chainalysis Par appel téléphonique, des opérateurs derrière des ransomwares veulent intimider des victimes, qui souhaitent éviter de payer la rançon en tentant de restaurer le système depuis une sauvegarde