Comment contrer la pénurie des talents en cybersécurité ?

« Nous perdrons la cyberguerre faute de combattants » L’avertissement est lancé par Michel Van Den Berghe, président du Campus Cyber. Les mots sont pesés et, dans les couloirs de ce lieu totem en plein cœur de La Défense inauguré en février 2022 pour fédérer la communauté de la cybersécurité, le constat est partagé : la France fait face à une pénurie des talents. Selon un rapport de l’Institut Montaigne intitulé “Mobiliser et former les talents du numérique“ qui évalue la tension du secteur cyber à 4,2 sur un indice de 5, seules 25 % des offres d’emploi ont été pourvues en 2021. Résultat : 15 000 postes d’experts en cybersécurité étaient toujours vacants en mars 2022, d’après les calculs du cabinet Wavestone.

Un manque d’attractivité

Un déficit qui pourrait mettre à mal la stratégie nationale d’accélération – qui vise à doubler les emplois dans le secteur, passant de 37 000 à 75 000 à l’horizon 2025 – et pourrait faire peser un risque structurel sur le pays. « C’est un problème qui peut potentiellement grossir et se nourrir de lui-même, une sorte d’effet boule de neige, prévient Louise Frion, consultante spécialisée dans les enjeux de transformation numérique, qui a cosigné le rapport de l’Institut Montaigne. Le déficit commence extrêmement tôt, dès le collège, et s’accentue ensuite tout au long du cycle de l’employabilité d’un talent. » Au Campus Cyber, Michel Van Den Berghe abonde dans ce sens : « Notre première mission, c’est de renforcer la cybersécurité de la nation, à commencer par les plus fragiles de l’écosystème : les PME et les petites collectivités. La seconde mission, c’est de former plus de talents. C’est déjà très difficile, pour une grande entreprise, de recruter quelqu’un, alors embaucher un expert cyber au sein d’un hôpital, avec une grille de salaire extrêmement basse, ou dans une PME, voire une TPE, c’est encore plus compliqué. Nous formons 500 ou 600 nouveaux experts chaque année et ce n’est pas assez. Donc, nous avons besoin d’en former beaucoup plus et, pour y parvenir, il faut travailler sur l’attractivité de ces métiers ».

D’autant plus que le sujet se heurte systématiquement aux mêmes clichés. Dans les médias comme dans l’imaginaire collectif, l’expert en cybersécurité est encore trop souvent associé à l’image du geek à capuche enfermé dans une salle obscure avec des chiffres hexadécimaux qui défilent devant lui. « Nous constatons que nos jeunes ne se sentent pas attirés par nos métiers. Pourquoi ? Parce que nous renvoyons toujours cette image », reprend le président du Campus Cyber. Pour y remédier, le Campus Cyber lance le 13 novembre dernier, en partenariat avec le ministère de l’Éducation nationale et l’ANSSI, une campagne d’affichage afin de valoriser la diversité des métiers de la cyber auprès des collégiens et lycéens de France. Des spots de sensibilisation seront diffusés sur France TV.

Renforcer les parcours de formation

« L’un des problèmes que nous avons constatés pour le numérique de façon générale et pour la cybersécurité plus spécifiquement, c’est qu’on ne voit pas bien l’impact de ces métiers sur le monde réel, quel est leur sens. Alors même que, par définition, ce sont des fonctions transversales qui protègent l’entreprise, les citoyens, souligne Milo Rignell, coauteur du rapport de l’Institut Montaigne. Ce que nous préconisons, c’est vraiment de faire de l’acculturation. Et la volonté de servir son pays, c’est un facteur sur lequel il faut insister. Car, on le voit bien dans certaines entreprises de la cyber française, cela permet d’attirer et de retenir les gens avec des salaires qui restent au-dessus du salaire médian (55 000 euros annuels en moyenne, ndlr), mais peuvent parfois être moins importants qu’ailleurs. » Une acculturation qui, dans un domaine en constante mutation, ne peut se faire que sur le temps long, en renforçant les liens entre formation initiale et formation continue, dont une grande partie se fait au sein de l’entreprise au travers d’exercices de simulation. « Il y a encore trop peu de parcours en formation initiale qui intègrent des composantes numériques, en particulier de cybersécurité », complète Louise Frion. Conséquence : ce sont surtout les offres de formation alternatives qui prennent le relais et assurent ce volet-là.

« Des offres très efficaces », dixit Louise Frion, qui mettent l’accent sur l’idée que le numérique a besoin de compétences plus que de diplômes. « Ce qui est vrai, dans un sens, mais les diplômes participent aussi à une forme d’attractivité et d’excellence de ces métiers, rétorque-t-elle. Il faut réconcilier les deux discours : vous pouvez être diplômé d’une très grande école d’ingénieurs ou de commerce et gérer un projet cyber stratégique, niveau COMEX, qui permet de progresser et prendre des responsabilités. » Une vérité qui s’applique également, à un échelon différent, aux personnes en reconversion professionnelle vers les métiers du numérique qui, elles, n’ont pas forcément connaissance des opportunités qu’offre la cybersécurité.

« Être vraiment accessible pour permettre à des gens que l’on ne voit pas suffisamment dans l’écosystème de se lancer », c’est ce que demande Anthony Babkine, cofondateur de Diversidays, une association d’égalité des chances qui facilite et accompagne les reconversions professionnelles des talents sous-représentés ou discriminés dans le secteur de la tech et accompagne les porteurs de projets à impact, originaires des quartiers et zones rurales, en situation de handicap et bien d’autres. Et notamment via un programme de 40 heures 100 % accessible aux personnes en situation de handicap intitulé DéClics Numériques (plus de 10 000 personnes ont déjà suivi ce programme partout en France). Il précise aussi que, selon des statistiques établies par Diversidays et PwC en 2022, 39 % de celles et ceux qui postulent dans le monde des startups ou de la tech sont victimes de discrimination à l’embauche. « Les deux critères qui reviennent souvent, ce sont l’âge et le niveau de diplôme. Donc, il faut encourager les personnes à se lancer, mais pas dans le vide. Se lancer avec une trajectoire, des objectifs. Nous avons besoin que les employeurs jouent le jeu, qu’ils misent davantage sur les compétences ou l’intérêt pour un métier, plutôt que seulement sur un niveau de diplôme ou une école. »

“Les femmes ne représentent que 11 % des effectifs cyber”

Une démarche dans laquelle s’inscrit pleinement Google. D’abord avec les Ateliers Numériques qui, depuis 2012, ont formé 800 000 personnes aux outils et métiers du numérique partout dans l’Hexagone. Puis, plus récemment, avec les Google Career Certificates (GCC), des formations professionnalisantes en ligne – avec une certification en cybersécurité lancée en France le 4 octobre dernier – qui ont déjà permis à près de 2 500 personnes de développer des compétences pour s’ouvrir à ces nouveaux métiers. Des personnes comme Cédric Vervoord, contrôleur à la SNCF en reconversion, qui a « rencontré la cybersécurité » sur une fin de parcours de développeur web. « J’ai su tout de suite que c’était ce que je voulais faire et j’ai pu compléter la formation en moins de trois mois », rembobine-t-il. Afin d’accélérer l’accompagnement de ces profils traditionnellement moins représentés dans le numérique, Google s’engage à mettre à disposition 3 000 licences GCC Cyber grâce à un réseau de partenaires comme Diversidays – dont 1 000 apprenants ont déjà bénéficié des GCC – ou Pôle emploi. Avec l’objectif de repérer les talents parmi les publics traditionnellement moins représentés dans ces métiers et de les accompagner pour s’assurer de leur réussite.

« L’autre biais majeur pour répondre à la pénurie de talents dans la cyber, c’est l’employabilité des femmes, avance Louise Frion. Elles sont quand même censées représenter 50 % du vivier d’emplois et si nous recrutions autant de femmes que d’hommes, mécaniquement, nous n’aurions pas ces chiffres colossaux qui risquent vraiment de devenir une composante à part entière du marché de l’emploi français. » D’après l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), les femmes ne représentent que 11 % des métiers techniques et seulement 14 % des étudiants en cybersécurité. Un déséquilibre majeur d’autant plus préoccupant, à en croire le Labo Société Numérique, qui prévoit que d’ici 2030, le numérique deviendra le premier employeur du pays devant les services à la personne. Heureusement, certains acteurs ont pris ce problème à bras-le-corps.

C’est le cas de Women4Cyber France, dont le but est de promouvoir les métiers de la cybersécurité auprès des femmes, et qui, aux côtés d’INCO – acteur international spécialisé dans la formation aux métiers de demain et dans l’accompagnement des entrepreneurs de l’impact –, apportera un soutien spécifique (mentorat et coaching) à 400 femmes dans l’obtention de leur GCC Cybersécurité à l’aide d’une bourse Google.org. « Nous les accompagnons aussi dans leur carrière pour qu’elles ne quittent pas ces métiers. Car, parfois, c’est vrai que lorsque vous ne représentez que 11 % des effectifs, il peut y avoir une tentation de quitter le secteur… Il faut aussi préciser qu’ajouter une diversité des points de vue rend la détection d’attaques cyber bien plus efficace », concède Charlotte Graire, secrétaire générale de l’association. D’où le besoin de rendre la tech dans son ensemble, la cybersécurité en particulier, plus inclusive. Ce que Nicolas Hazard, fondateur d’INCO, conçoit comme un sport collectif : « Il y a une méconnaissance des problèmes d’intégration inhérents au secteur, sur laquelle il faut que nous travaillions tous ensemble. C’est la démarche que nous avons adoptée avec Google et Women4Cyber : former 1 000 femmes éloignées de l’emploi dans cinq pays européens, dont 400 en France. Accompagner, mentorer et trouver des solutions qui soient vraiment du sur-mesure. Parce que nous avons besoin de sur-mesure si nous voulons être efficaces, si nous voulons avoir un impact positif pour transformer l’économie et créer ce nouveau monde que nous appelons de nos vœux ».

Google France s’engage afin de contribuer à combler le déficit de compétences et aider les publics moins représentés, en particulier les femmes, à accéder aux opportunités d’emploi dans la cybersécurité. Et ce en lançant le Google Career Certificates Cybersécurité : une formation professionnalisante accessible à toutes et tous qui prépare en moins de six mois à des emplois dans le domaine de la cybersécurité, avec un programme 100 % en ligne.