Le manque de compétences en matière de cybersécurité est l'un des problèmes critiques auquel doit faire face la communauté de la sécurité de l'information. Et le terme "critique" ici n'est pas usurpé : le manque de spécialistes de haut niveau en cybersécurité est souvent présenté comme une menace à la fois pour les profits, pour la sécurité nationale et la stabilité des marchés.

Alors oui, il y a en effet un manque criant d'expert en cybersécurité sur le marché. Mais ce problème est trop souvent abordé uniquement sous l'angle du manque de candidats qualifiés. Mais le déficit de compétences en matière de cybersécurité n'est peut-être pas seulement un problème d'offre, mais aussi de demande ! Et l'industrie de la sécurité est en partie responsable de ce problème, que ce soit pour des raisons d'intérêts personnels, d'expression des besoins extraordinairement vagues ou d'attentes irréalistes (on pense ici aux offres qui exigent 10 ans d'expérience sur une technologie qui n'existe que depuis moins d'un an...).

Le juste prix

Ce flou artistique dans les critères de recrutement n'est pas seulement un handicap pour les candidats : c'est aussi en grande partie la raison pour laquelle la cybersécurité elle-même devient à la fois plus difficile à appréhender et moins bien définie... ce qui conduit à des recrutements encore plus flous !

La demande s'exprime en effet trop souvent en termes de coût ("Combien de compétences en matière de cybersécurité puis-je obtenir pour tel budget annuel ?") et reflète surtout l'attente d'un "produit fini" : personne ne veut payer le prix véritable, qui au-delà du salaire, s'exprime surtout en termes de formation et d'entretien des compétences. On entend souvent des arguments du genre : "Je n'ai pas le temps de former quelqu'un, je dois atténuer ces menaces tout de suite !"

Finalement, le fait que nous n'ayons pas encore trouvé un équilibre entre l'offre et la demande de candidats indique que nous ne formulons peut-être pas le problème correctement ou que nous n'en fixons pas le juste prix...

Qu'est-ce qu'un expert en cybersécurité, d'ailleurs ?

La définition de ce qu'est exactement un "expert en cybersécurité" est complexe. Car la cybersécurité elle-même regroupe un ensemble de connaissances mal définies. Il existe tellement de compétences différentes que même les experts en sécurité les plus chevronnés ne sont pas toujours d'accord sur ce qu'un professionnel de la sécurité doit savoir et faire !

Ce domaine englobe des sous-domaines tels que l'analyse des logiciels malveillants, les tests d'intrusion, l'analyse de codes, la criminalistique, le renseignement sur les menaces, l'évaluation des risques, la conformité, la cryptographie, la surveillance des réseaux ou encore la réponse aux incidents et bien d'autres. Et il exige de solides bases dans d'autres domaines connexes, notamment en développement de logiciels, en architecture applicative, architecture de l'information ou visualisation des données. Et comme si cela ne suffisait pas, elle requiert parfois aussi des connaissances dans des domaines tels que la géopolitique, l'économie internationale, la lutte contre le terrorisme, la psychologie comportementale, les méthodes statistiques, le droit ou la communication de crise.

En formation continue et permanente

Évidemment aucune formation ne peut couvrir efficacement tout cela en un seul cursus. Il s'agit donc plutôt d'un chemin de carrière. Sans compter que pour un même candidat, les besoins d'une organisation pourront varier en fonction de sa stratégie, son architecture de sécurité et du point de vue du responsable du recrutement. Cela signifie que même les spécialistes expérimentés doivent être prêts à faire preuve d'humilité, de développer plutôt telle ou telle compétence en fonction des besoins de leur employeur, tout en continuant à en acquérir constamment des nouvelles pour la suite de leur carrière.

Ainsi, les diplômés qui tendent à être embauchés dans ce domaine ne correspondent pas vraiment à tous les besoins, et devront donc se montrer extrêmement souples et capables d'apprendre continuellement, même après leurs études. Le domaine de la cybersécurité lui-même est si résistant à la catégorisation que seuls ceux capables d'apprendre en permanence peuvent prétendre y faire carrière.

Cependant, le point commun essentiel que l'on retrouve chez tous ceux qui réussissent dans ce domaine est leur profond intérêt pour la notion de sécurité elle-même. Et c'est probablement le plus important. Si cette passion pour les concepts de sécurité est présente, tout le reste peut s'apprendre. C'est pourquoi plutôt que de chercher des candidats clés en main, il vaut peut-être mieux cultiver les compétences pratiques chez les personnes qui se signalent comme étant intéressées par la sécurité, dans son acceptation la plus large.

Mieux vaut cultiver ses propres experts en cybersécurité

Investir dans des candidats non qualifiés, mais motivés peut sembler un pari. Mais en définitive, quand on fait la liste de toutes les qualités et compétences requises, il est facile de voir qu'il est préférable de "cultiver" plutôt que "d'acheter". La clé du recrutement en cybersécurité est de tester d'abord la passion. Car de toute manière, pour les professionnels de la cybersécurité, l'apprentissage continu fait partie du métier. S'ils ne sont pas curieux et motivés pour le faire, inutile d'aller plus loin. Ce serait une perte de temps pour tout le monde.

À l'inverse, pour un individu attiré par le domaine, quel que soit son background, la formation est gagnante ! Et il ne faut pas non plus hésiter à élargir la recherche : nombre des meilleurs candidats seront issus de milieux non traditionnels, et pas seulement des étudiants en informatique. Les autodidactes, les amateurs passionnés, les étudiants en géopolitique, les ingénieurs et chercheurs dans d'autres disciplines, se sont souvent montrés désireux, capables d'apprendre et finalement d'exceller dans la cybersécurité.