lundi 18 mars 2013

La pénurie de spécialistes en cybersécurité (2/2). Emplois, croissance et souveraineté

Le problème qualitatif et quantitatif semble, par exemple, de plus en plus criant aux États-Unis. Qui, au plus haut niveau, a fait des enjeux de cybersécurité et de cyberdéfense une problématique stratégique et de sécurité nationale. Pentagone, DHS, agences gouvernementales, secteur de la recherche ou entreprises de défense et de sécurité, tout ce joli monde participe à la dynamique enclenchée. Les investissements et les crédits engagés sont très importants (50 milliards de $ par an ?) et malgré l'importante population américaine et la qualité de son système de formation, les difficultés se font jour.


Très récemment, des experts se sont émus que le Pentagone cherche à recruter des centaines de spécialistes alors qu'une partie de ceux déjà en poste sont insuffisamment formés et possèdent peu ou pas d'expérience ! La faute à un système qui repose essentiellement sur des certifications, comme le fameux CISSP, loin de remplacer l'expérience et la pratique délivrées par un processus classique mais plus long de formation (1). Au final, le paradoxe est de disposer de "spécialistes" chargés de protéger et de défendre des systèmes d'information mais qui, en réalité, sont susceptibles de les affaiblir par l'insuffisance de leurs compétences réelles !

A cette situation ubuesque s'ajoute la pénurie de spécialistes et d'experts (1) : en moyenne, les recruteurs doivent republier ou dupliquer les annonces concernant les spécialistes cybersécurité environ 35% de plus que les autres offres IT. L'emballement constaté concernent également les salaires qui s'envolent. Ce qui peut apparaître positif pour les concernés possède également les ferments de la constitution d'une possible bulle. Et, sans coup férir, une bulle quelle qu'elle soit, est appelée à se dégonfler un jour ou l'autre.

En attendant d'y voir plus clair, le DHS vient de lancer un site consacà l'éducation et aux carrières du secteur (2). L'initiative est intéressante et elle pourrait inspirer sans doute l'Union européenne et ses États principaux comme la France. Qui, à l'heure, de bruits et de rumeurs parfois contradictoires concernant le prochain Livre Blanc (3), réfléchit à structurer le secteur national de cybersécuri et de cyberdéfense.

La création d'une filière d'excellence regroupant les acteurs étatiques, les entreprises privées du secteur, des projets de recherche et le système éducatif (filière spécialisée, écoles d'ingénieurs, pôles universitaires) ferait plus que sens. Ce serait l'assurance de pérenniser notre Base Industrielle et Technologique de Défense (BITD), nos emplois actuels mais aussi et surtout ceux de demain. Pour conforter notre souveraineté et générer une croissance qui nous tend les bras. Souhaitons que "le politique", au plus haut niveau, soit moteur et sache encourager les volontés existantes sur ce dossier !


(2) Livre Blanc de la Défense et de la Sécurité Nationale

4 commentaires:

Anonyme a dit…

Très intéressant.
Pouvez-vous nous donner des conseils sur les formations en cybersécurité, notamment pour des informaticiens déjà en activité ?
Je me considère comme ayant des connaissances larges sur les domaines IT, mais avec un bagage académique et des expériences professionnelles un peu light (DUT info + 3 ans expérience développeur et admin système).

Avez-vous des conseils à me donner pour me lancer dans la sécurité ?

Je pense commencer par une certification système (MCSE), réseau (CCNA) et/ou sécurité (CEH, security+, ..)

Mais si meme le CISSP vous parait trop léger il y a peut être d'autres voies que vous me conseillerez.

Merci !

Anonyme a dit…

Bonjour,
Je me permets de vous relancer sur la question des formations en cybersécurité.

C'est un domaine qui s'est généralisé il n'y a pas longtemps et qui n'est pas forcément très connu du grand publique, y compris parmi les informaticiens.

Selon vous, quelles sont les formations à privilégier aujourd'hui ?
- Certifications systèmes, réseau et sécurité
- Formations ingénieur et ingénieur informatique
- Colloques et conférences
- Pratique et expériences professionnelles

Faut-il plutôt se spécialiser dans un domaine (sécurité cloud, pentest, virus et software, ...)
Ou au contraire acquérir des compétences transverses dès le départ ?

Merci.

Si vis pacem a dit…

Merci pour votre question qui fait sens avec le sujet ici évoqué (la pénurie de spécialistes en cybersécurité).

La voie "royale" consiste à faire une école d'ingénieurs spécialisée en SSI. Il en existe plusieurs, délivrant toutes le socle minimum que l'on attend d'un futur spécialiste.

Pour les spécialistes informatiques au sens large comme dans votre cas, les possibilités sont multiples et me paraissent être un mix de vos propositions.

1) Il faut d'abord s'intéresser de près au domaine de la SSI/cybersécurité/cyberdéfense au travers d'une veille active et ciblée. Cette activité, d'ailleurs, doit rester constante tout au long de son parcours professionnel. C'est d'autant plus vrai dans des domaines où la technique et les technologies évoluent vite.

2) Assister à des colloques et des conférences permet d'élever sa vision et de s'enrichir d'autres domaines. Encore faut-il bien cibler les interventions auxquelles assister ;-) généralement, et c'est un avis entièrement personnel, j'évite celles où le business n'est jamais loin. A choisir, je préfère des interventions davantage orientées recherche et prospective même si, parfois, l'ésotérisme survient parfois !

3) Les certifications sont un plus indéniable. Encore faut-il bien les choisir. On peut considérer qu'être certifié ISO 27001 et 27005 est un bon début. CEH et CISSP ont aussi du sens même s'ils prêtent le flanc à la critique.

4) Il reste enfin l'option "autodidacte" qui peut encore fonctionner dans cette discipline somme toute particulière. J'ai souvenir d'avoir recruté des personnes "moins" diplômées c'est à dire qui n'étaient pas ingénieur mais simplement bac + 2 (BTS / DUT) parce que c'étaient des passionnés, des "touche à tout" qui possédaient un périmètre de compétences bien supérieurs à ce qui peut être enseigné. Charge ensuite à la structure qui accueille ce type de profil de leur fournir les outils (conceptuels) et la méthodologie pour réussir aussi bien (si ce n'est mieux parfois) que leurs camarades aux parcours solides mais plus formatés !

La créativité, la réactivité et la souplesse d'esprit sont des qualités qui ne sont pas enseignées. Elles sont pourtant nécessaires dans le domaine de la cybersécurité qui peut être imprévisible et mouvant si l'on se trouve en contexte opérationnel ou, plus prosaïquement, en missions courtes comme du consulting.

Souhaitant avoir répondu à votre question, je vous remercie de vous intéresser à ce blog.

Anonyme a dit…

Merci pour votre réponse très complète.
Je vais commencer par la proposition No 1 en passant plus de temps sur votre blog !