Un logiciel malveillant (malware) émerge toutes les 4 secondes. Lors du dernier forum sur la cybersécurité organisé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l’agence alertait sur le fait que la menace allait croitre fortement entre 2019 et 2020 avec des attaques encore plus complexes, massives et sophistiquées.

Face à cet enjeu de taille, la confiance dans le numérique est devenue une approche stratégique majeure pour toutes les grandes sociétés ces dernières années. Le développement de compétences en cybersécurité* et cyberdéfense* pour être capables de construire des systèmes sûrs s’impose plus que jamais comme une nécessité.

De nouveaux métiers se créent avec l’apparition d’approches telle que la threat intelligence* pour anticiper les attaques. Ce secteur d’avenir est à la recherche de talents : d’après l’(ISC)², l’International Information Systems Security Certification Consortium, l’organisme en charge de la certification CISSP (Certified Information Systems Security Professional), d’ici 2022, 350 000 postes seraient non pourvus dans la cybersécurité en Europe.

Enquête auprès de deux entreprises partenaires de la GEN, Orange et la Société Générale pour mieux cerner les besoins en compétences dans le domaine de la cybersécurité.

Pour comprendre le contexte

Lexique de la cybersécurité

- *Cyberdéfense : ensemble des activités mises en place par un Etat dans le cyberespace pour défendre les systèmes informatiques essentiels

- *Cybersécurité : c’est l’art de pouvoir protéger les systèmes d’information (l’IT : information technology) mais aussi les systèmes industriels (OT : operation technical) dans tous les domaines sensibles (la défense, le transport, le domaine médical, l’électricité etc.)

- *Pentesting : technique permettant d’évaluer la résistance des produits et des systèmes pour tester les vulnérabilités de son propre logiciel ou de l’architecture

- *SOC (Security Operation Center) : centre de supervision des attaques

- *Threat Intelligence : technique qui consiste à collecter des informations sur les menaces qui pèse sur le cyberespace pour anticiper au mieux les attaques

Les cyber-attaques les plus courantes dans les entreprises

 

Les profils recherchés dans la cybersécurité : des besoins adaptés aux profils GEN

Comme nous l’explique Charles Préaux, directeur d’Orange Campus Cybersécurité, les besoins dans la cybersécurité se font à tous les niveaux de formation. Plusieurs spécialités peuvent être accessibles pour les publics cibles de la Grande Ecole du Numérique.

• Informatique de confiance

« Savoir programmer une application d’une manière sécurisée, ce que l’on appelle l’informatique de confiance, n’est pas réservé aux ingénieurs. Cela peut se faire dans des formations de niveau bac+1, bac+2 » On leur apprend des mécanismes de programmation comme la possibilité d’avoir un code auto-immun, c’est-à-dire « un code capable de se protéger lui-même ».

• Configuration des outils

Même si les principes de la configuration des outils de la sécurité ont été conçus par des ingénieurs, la mise en œuvre et la configuration de ces systèmes peut tout à faire être enseignée dans des formations spécifiques qui ne nécessitent pas forcément des compétences de niveau ingénieur.

• Maintenance

Les métiers de la maintenance des systèmes et des architectures de sécurité peuvent s’effectuer après un diplôme de niveau bac +1/bac +2, surtout dans des approches très spécialisées.

Charles Préaux ajoute que ce n’est pas la question du niveau académique qu’il faut se poser en premier mais celle de la motivation, car il s’agit là « de métiers pour lesquels la performance professionnelle sera directement liée à la motivation, plus encore que dans un autre domaine ». En effet, le contexte impose une prise de conscience des risques et des menaces qui pèsent au niveau national et international. De plus, ce sont des métiers où la technologie évolue très vite, lorsque l’on sait que « le cycle de vie d’un produit technologique est de 18 mois ». Il faut donc se remettre constamment à jour.

A découvrir en vidéo : les profils recherchés chez Orange !

Thomas Garnier d’Orange Campus Cybersécurité et Véronique Biecques, directrice recrutement, parcours professionnel et attractivité employeur Orange, nous présentent la Hacker Room d’Orange et nous parlent des besoins en recrutement dans la cybersécurité chez Orange !

Deux soft skills clés pour réussir dans la cybersécurité

• Humilité

« Quand on fait une formation en cybersécurité on forme des gens pour qu’ils fabriquent des systèmes sûrs mais en même temps on va leur demander de faire en sorte de voir s’ils ne peuvent pas les casser pour mieux les protéger. Il y a cette dualité spécifique au domaine cyber ». Cela demande donc une grande humilité.

Cette qualité est notamment indispensable lorsque l’on travaille dans le domaine du pentesting*, une technique permettant d’évaluer la résistance des produits et des systèmes en testant les vulnérabilités de son propre logiciel.

• Gestion du stress

Les apprenants peuvent être amenés à travailler dans un SOC* (Security Operation Center), un centre de supervision des attaques, qui peut être assimilé à une sorte de salle de marché avec des personnes chargées de protéger des infrastructures vitales pour l’entreprise.

« On ne voit souvent les attaques apparaitre que lorsqu’on en détecte les conséquences. Il y a donc un stress qui s’établit quand malgré les outils l’attaque n’a pas pu être détectée en amont. Elles se retrouvent alors dans une situation de « stress numérique » où les sens humains sont inopérants».

Pour répondre à ces besoins particuliers, Charles Préaux préconise de mettre en place des modules de formation adaptés, comme un séminaire sur le facteur humain avec mise en situation de stress avec des risques réels.

L’offre de formation actuelle doit évoluer pour s’adapter aux besoins des entreprises

Comme nous l’explique Charles Préaux, les formations traditionnelles n’adressent pas encore bien les métiers de la cybersécurité

« La cybersécurité est une science pluridisciplinaire qui impose des formations pluridisciplinaires : il faut des compétences en droit pour maitriser les règlementations,, en maths pour faire de la cryptologie, en informatique pour sécuriser le code, en électronique pour sécuriser le hardware, en système industriels pour sécuriser des systèmes complexes etc. »

Tous les parcours de formation ne sont pas encore inventés, et de nombreuses possibilités peuvent être imaginées notamment en mixant les publics.

« L’idée est de brasser des gens qui sont d’origine et de formation différentes pour faire émerger des formations et des métiers de demain : hybrides. On est dans un domaine à très forte évolution, personne n’a fait le tour du problème. Il est encore grand temps de se pencher sur la question »

Il ajoute que la notion de secteur d’activité est extrêmement importante dans le domaine de la cybersécurité parce que la déclinaison métier ne sera pas forcément la même. Les besoins ne sont pas les mêmes dans la défense, l’automobile, les télécoms…

Ainsi, la couverture de l’ensemble de ces métiers n’est pas encore assurée aujourd’hui par l’offre de formation disponible. Formations labellisées, un nouveau champ des possibles s’offre à vous !

4 questions à Aurélie Michaud, direction RSSI Société Générale

Nous avons interrogé Aurélie Michaud, adjointe au directeur de la sécurité des systèmes d’information du Groupe Société Générale, en charge d’animer la filière Sécurité des Systèmes d’Information et d’assurer la cohérence et la validation des solutions de sécurité du Groupe ainsi que du CERT SG.