L’enseignement et la formation pour pallier la pénurie de compétences : Christophe Auberger, directeur technique France de Fortinet, spécialiste américain en logiciels, équipements et services de cybersécurité, développe son point de vue dans cette tribune.
Les entreprises sont encore trop nombreuses à hésiter à investir dans les programmes de formation à la cybersécurité ou à se contenter de recruter des profils juniors dans cette discipline. Les professionnels formés et expérimentés en cybersécurité sont une denrée rare sur le marché, et pour répondre à cette pénurie de compétences, les entreprises doivent repenser leur politique de sécurité. Elles ont tout à gagner en misant sur la proactivité pour rendre de nouveaux professionnels de la cybersécurité opérationnels.
À l’heure d’une digitalisation tous azimuts, il devient rare, si ce n’est impossible de trouver une entreprise, tous secteurs d’activité confondus, qui n’utilise pas les logiciels, applications et autres outils au quotidien pour gagner en efficacité. Au final, toutes les organisations actuelles sont devenues, dans une certaine mesure, des entreprises informatiques.
Parallèlement, l’utilisation pervasive de la technologie dans le monde favorise une expansion et une évolution majeures de l’univers des menaces. Il en résulte que toutes les entreprises se doivent désormais de compter sur les professionnels de cette discipline.
Pour autant, les carences en compétences de cybersécurité restent d’actualité. Les professionnels de la cybersécurité sont des profils particulièrement recherchés dans tous les secteurs. Cependant, nombre de ces postes restent non pourvus, les entreprises privilégiant des candidats expérimentés dans le domaine. La demande étant plus importante que l’offre, le recrutement de tels profils n’est pas toujours simple.
En réponse à cette problématique, les entreprises sont invitées à repenser leur programme de formation, dans l’optique de faire émerger une nouvelle génération de talents.
Les nombreux défis liés à cette carence de compétences
Sur le seul continent européen, la pénurie de compétences en cybersécurité devrait se chiffrer à 350 000 travailleurs à l’horizon 2022. Un chiffre inquiétant, à l’heure où les menaces gagnent en sophistication et que le cadre réglementaire s’est renforcé et impose de lourdes pénalités en cas de non-conformité. L’entrée en vigueur du RGPD en mai dernier incite fortement les entreprises à évaluer leurs solutions et processus de sécurité pour assurer leur conformité et juguler les risques qui en découlent.
Alors que les professionnels de la cybersécurité sont si demandés, ceux qui présentent les compétences et l’expérience recherchées par les organisations peuvent prétendre à une rémunération élevée. Au final, ce sont les organisations les plus grandes qui supportent le mieux de telles charges salariales, alors que les plus petites ne sont plus dans la course.
En dépit de cette tendance, nombre d’organisations hésitent à investir dans les programmes de sécurité ou se contentent de recruter des profils juniors, peu expérimentés. Le turnover plus ou moins important parmi les collaborateurs fait que les organisations considèrent souvent qu’investir dans les formations en cybersécurité est un gaspillage de ressources et qu’il est préférable de recruter des profils déjà formés et compétents. Sauf que cette approche n’est guère viable sur le long terme.
Élargir le panel de formations pour faire émerger les compétences manquantes
Pour remédier à cette pénurie de compétences, les entreprises et les acteurs de l’enseignement doivent s’afficher proactifs.
Une des approches les plus prometteuses consiste à repartir sur de bonnes bases en proposant une sensibilisation à la cybersécurité dès l’école, mais aussi en inaugurant de nouvelles institutions dédiées à l’apprentissage dans ce domaine.
Le secteur de la cybersécurité présente un taux de chômage de 0 % et affiche des politiques de rémunération très compétitive. Voici deux avantages qui sauront séduire les étudiants qui démarrent leur formation supérieure. Les jeunes doivent être sensibilisés dès leurs années collège et disposer de nombreuses opportunités pour consolider leurs compétences lors de leur cursus du secondaire et du supérieur. Dans certains cas, on assiste même à la création d’organismes totalement dédiés à la cybersécurité, comme l’illustre l’ouverture prochaine au Royaume-Uni du National College of Cybersecurity.
Les entreprises doivent également s’afficher proactives dans la promotion des programmes de cybersécurité sur les campus universitaires, au travers d’événements dédiés ou en participant à des journées emploi. De plus, elles peuvent proposer des programmes qui offrent aux étudiants une expérience de terrain. Capitaliser sur une telle expérience est essentiel. En effet, 52 % des organisations estiment qu’une expérience pratique et de terrain constitue l’atout le plus important, et elles sont 7 sur 10 à estimer que les certifications en sécurité sont plus importantes que des diplômes dans ce domaine.
Au-delà de la formation des étudiants et collaborateurs de la génération à venir, faire carrière dans la cybersécurité est une option pertinente pour ceux qui souhaitent se réorienter ou qui reviennent à la vie active après une période d’absence. Par exemple, les programmes de formation et de certifications doivent être ouverts aux jeunes retraités de l’armée et à ceux qui souhaitent affûter leurs compétences pour se repositionner sur le marché de l’emploi. D’ailleurs, ceci pourrait bien contribuer à une parité hommes-femmes dans le secteur, puisque 90 % des candidats au retour à l’emploi sont des femmes, alors qu’elles ne représentent que 11% des effectifs de la profession aujourd’hui.
Enfin, les organisations peuvent investir dans leurs propres collaborateurs qui disposent déjà de compétences techniques, en leur proposant une formation initiale et continue en cybersécurité.
La pénurie des compétences en cybersécurité s’accentue. Les entreprises ne peuvent plus se contenter d’espérer que les candidats qu’ils recrutent répondent parfaitement à leurs exigences. Elles doivent, en effet, encourager la formation, et collaborer avec les acteurs de cette formation pour définir des cursus qui permettront de répondre aux demandes importantes en matière de sécurité