Posted 4 Dec 2019

Le virus des formations en cybersécurité

Laurent Halimi blog profile image

By Laurent Halimi

C'est un secteur qui ne connaît pas la crise. La cybersécurité est en plein « boum » au gré de la démultiplication des cyberattaques que toutes les entreprises et les États connaissent à travers le monde. Multinationales, grosses entreprises, mais aussi PME, 81 % des entreprises ont été touchées l'année dernière. Le monde de la sécurité informatique recrute ainsi en masse et propose des filières de formations qui se font de plus en plus nombreuses afin de répondre au manque crucial de candidats bien formés.

La cybercriminalité, hélas, se porte très bien ! C'est un résultat 2019 effrayant tiré du rapport de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) : une entreprise sur huit a été victime d'une cyberattaque l'an passé. Avec pour principales cyberattaques, rançongiciel, phishing et spear-phishing le plus courant avec 73 % des cas, malware, brute force, injection  SQL, defacement, DDoS, spoofing, qui peuvent porter les « doux noms » de WannaCry, Petrwrap, GoldenEye, Petya, SortaPetra, XHelper...

Et l'explosion du big data ne va pas arranger cette cybercriminalité, bien au contraire ! Au niveau mondial, ce sont deux millions d'attaques en 2018 pour un préjudice de plus de 45 milliards de dollars. Pour faire face à cette cybercriminalité, États et entreprises recrutent en masse des professionnels de cybersécurité. En France, le secteur de la cybersécurité emploie 24.000 salariés (70 % en Île-de-France), dans les entreprises du numérique, de l'ingénierie, des études, du conseil et de l'événement, et 1.400 créations d'emplois sont prévues d'ici à 2020 dans de nombreuses filières.

Selon une étude de Wavestone en 2018, la France comptait 128 start-up dédiées représentant 1.100 emplois, pour plus de 100 millions d'euros levés. Un écosystème se met en place mais qui est pour l'heure encore très insuffisant pour faire face aux hackers qui ont trouvé un pont d'or financier. 

Des métiers qui « courent » après la cybercriminalité

La cybercriminalité va donc plus vite que la cybersécurité et il apparaît que cette situation va s'intensifier dans les prochaines années. Seuls 25 % des postes sont pourvus à cause d'un manque de candidats ou de professionnels qualifiés issus de formation en cybersécurité. Car ce n'est pas parce que l'on est informaticien que l'on peut exercer dans le domaine de la cybercriminalité. Il faut être à la fois être un très bon informaticien et un très bon « e-enquêteur » à l'instar du « hacker éthique », qui maîtrise parfaitement toutes les failles de la sécurité informatique pour contrer les hackers malveillants.

Aujourd'hui encore donc, nombre d'informaticiens ne disposent pas des qualifications nécessaires pour exercer dans le monde complexe de la cybersécurité, ses compétences et ses certifications spécifiques. Une carence due à la méconnaissance de ces métiers assez nouveaux et très pointus et des carrières proposées, mais aussi à l'image négative trop souvent véhiculée du « geek seul entouré d'écrans ». Pourtant, les métiers de la cybersécurité sont attractifs, la plupart des postes sont proposés en CDI à temps complet, avec des salaires plus élevés que dans d'autres branches de l'informatique. En effet, un jeune diplômé peut se voir proposer, dès l'embauche, un salaire mensuel moyen qui oscille entre 2.500 et 3.000 € nets.

Des profils recherchés pour les formations en cybersécurité 

Le véritable enseignement en sécurité informatique, c'est-à-dire doté d'intitulés spécifiques, n'existe généralement qu'en troisième année d'études d'ingénieur ou en Bac+5. Expert spécialisé dans les attaques, juriste spécialisé en cybercriminalité, expert en chiffrement des données, spécialiste en gestion de crise cyber, architecte sécurité, cryptologue, délégué à la protection des données, analyste de la menace, consultant sécurité « organisationnel », les métiers de la cybersécurité sont tout autant nombreux que variés.

Mais certains d’entre eux sont particulièrement recherchés pour parer les cyberattaques que la plupart des entreprises subissent. Car il faut non seulement des professionnels qui sont capables de contrer une cyberattaque en cours mais également de les éviter en sécurisant les réseaux :

  • Le « hacker éthique ». Il est le grand spécialiste du hacking et le profil le plus recherché. Son rôle est de s'infiltrer officiellement dans les systèmes informatiques des entreprises pour en détecter les failles avant que les criminels ne s'en chargent.
  • Spécialiste en gestion de crise cyber. Il gère les attaques lorsqu'elles surviennent en tentant de sécuriser le maximum de données.
  • L'architecte de la sécurité informatique. Ingénieur informatique, il est la clef de voûte pour la mise en place d'un système informatique le plus sécurisé.
  • Le responsable de la sécurité informatique. Il est un expert de la protection des informations. Il définit et met en place la politique de sécurité et un plan d'actions en cas d'attaque.
  • Le juriste-avocat spécialisé en cybersécurité. Son rôle est d'informer l'entreprise sur la réglementation en vigueur et de l'épauler en cas de conflit. Les avocats les défendent lorsqu'elles sont victimes de cyberattaques.

Avec des formations de base de bac+2 à bac+3

Les qualifications exigées dans les métiers de la sécurité informatique sont de haut niveau après un bac+5 ou une école d'ingénieurs. Mais il existe cependant des opportunités à bac+2 ou bac+3, accessibles après une formation en cybersécurité, pour certains métiers comme l'audit, l'expertise en sécurité, la sécurisation du matériel existant.

  • Avec le niveau bac+2 :

DUT GEII ou réseaux et télécommunications et BTS SIO ou système numérique informatique et réseaux.

À noter : depuis 2017, le lycée militaire de Saint-Cyr à Paris a ouvert un BTS Systèmes numériques, option cyberdéfense.

  • Avec le niveau bac+3 :

Licence pro en sécurité des systèmes informatiques ou cyberdéfense, 38 licences pro recensées. En voici quelques unes pêle-mêle : Réseaux informatiques, mobilité et sécurité de l'IUT de Saint-Malo, administration et sécurité des systèmes et des réseaux de l'IUT de Villetaneuse, Paris 13, Cyber défense anti-intrusion des systèmes d'information de l'université Polytechnique des Hauts-de-France, Exploitation et sécurité des systèmes d'information et des réseaux de l'IUT Lyon 1.

Le top 5 des meilleurs masters des formations en cybersécurité

L'OPIIEC, l'Observatoire dynamique des métiers de la branche professionnelle de l'ingénierie, du numérique, des études de conseil de l'événement, a répertorié 150 formations en sécurité informatique, dont 37 titres d'ingénieur en cybersécurité. Le site meilleurs-masters.com a réalisé un classement annuel des formations en cybersécurité tant dans les écoles que dans les universités et ses 45 masters universitaires.

  • 1er. Mastère spécialisé Cybersécurité, Centrale Supélec  /IMT Atlantique, Cesson-Sévigné ;
  • 2e. MS Cybersécurité du numérique, INSA Lyon ;
  • 3e. MS Technologies du web et cybersécurité, IMT Atlantique, Brest ;
  • 4e. Mastère spécialisé Expert Forensic et cybersécurité, Université de technologie de Troyes-UTT ;
  • 5e. Master informatique Parcours ingénierie des réseaux Communications mobiles et sécurité, université  polytechniques des Hauts-de-France.

À noter : l'Université de Rennes 1 a ouvert à la rentrée 2018 un Master en Cybersécurité pour la Master School EIT Digital.

Bon à savoir : il existe un master spécialisé en sécurité de la e-santé, Master informatique Parcours cybersécurité et e-santé à l’université Paris Descartes.

D’autres parcours de formations en sécurité informatique

Pour faire face aux besoins exponentiels de profils de professionnels en cybersécurité, des formations en tout genre fleurissent, nées à l'initiative de structures publiques, d'entreprises, de centres de formations et d'organismes spécialisés en sécurité. En voici quelques unes :

Des cours et des formations gratuits, dédiés à la sécurité informatique, sont par ailleurs proposés en nombre sur le web. Ils ne délivrent pas de diplômes officiels et reconnus mais permettent de s'informer et de se cultiver sur le sujet. C'est le cas du site welivesecurity qui référence une liste d'une quinzaine de cours divers en cybersécurité gratuits disponibles en anglais et en français. Il existe également des MOOC pour se former à la sécurité informatique, comme celui de l'ANSSI ou ceux de la plateforme web my-mooc.com.