Le virus des formations en cybersécurité

La cybercriminalité, hélas, se porte très bien ! C’est un résultat 2019 effrayant tiré du rapport de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) : une entreprise sur huit a été victime d’une cyberattaque l’an passé. Avec pour principales cyberattaques, rançongiciel, phishing et spear-phishing le plus courant avec 73 % des cas, malware, brute force, injection  SQL, defacement, DDoS, spoofing, qui peuvent porter les « doux noms » de WannaCry, Petrwrap, GoldenEye, Petya, SortaPetra, XHelper…

Et l’explosion du big data ne va pas arranger cette cybercriminalité, bien au contraire ! Au niveau mondial, ce sont deux millions d'attaques en 2018 pour un préjudice de plus de 45 milliards de dollars. Pour faire face à cette cybercriminalité, États et entreprises recrutent en masse des professionnels de cybersécurité. En France, le secteur de la cybersécurité emploie 24.000 salariés (70 % en Île-de-France), dans les entreprises du numérique, de l’ingénierie, des études, du conseil et de l’événement, et 1.400 créations d’emplois sont prévues d’ici à 2020 dans de nombreuses filières.

Selon une étude de Wavestone en 2018, la France comptait 128 start-up dédiées représentant 1.100 emplois, pour plus de 100 millions d'euros levés. Un écosystème se met en place mais qui est pour l’heure encore très insuffisant pour faire face aux hackers qui ont trouvé un pont d’or financier. 

Des métiers qui « courent » après la cybercriminalité

La cybercriminalité va donc plus vite que la cybersécurité et il apparaît que cette situation va s’intensifier dans les prochaines années. Seuls 25 % des postes sont pourvus à cause d’un manque de candidats ou de professionnels qualifiés issus de formation en cybersécurité. Car ce n’est pas parce que l’on est informaticien que l’on peut exercer dans le domaine de la cybercriminalité. Il faut être à la fois être un très bon informaticien et un très bon « e-enquêteur » à l’instar du « hacker éthique », qui maîtrise parfaitement toutes les failles de la sécurité informatique pour contrer les hackers malveillants.

Aujourd’hui encore donc, nombre d’informaticiens ne disposent pas des qualifications nécessaires pour exercer dans le monde complexe de la cybersécurité, ses compétences et ses certifications spécifiques. Une carence due à la méconnaissance de ces métiers assez nouveaux et très pointus et des carrières proposées, mais aussi à l’image négative trop souvent véhiculée du « geek seul entouré d’écrans ». Pourtant, les métiers de la cybersécurité sont attractifs, la plupart des postes sont proposés en CDI à temps complet, avec des salaires plus élevés que dans d’autres branches de l’informatique. En effet, un jeune diplômé peut se voir proposer, dès l’embauche, un salaire mensuel moyen qui oscille entre 2.500 et 3.000 € nets.

Des profils recherchés pour les formations en cybersécurité 

Le véritable enseignement en sécurité informatique, c'est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d'ingénieur ou en Bac+5. Expert spécialisé dans les attaques, juriste spécialisé en cybercriminalité, expert en chiffrement des données, spécialiste en gestion de crise cyber, architecte sécurité, cryptologue, délégué à la protection des données, analyste de la menace, consultant sécurité « organisationnel », les métiers de la cybersécurité sont tout autant nombreux que variés.

Mais certains d’entre eux sont particulièrement recherchés pour parer les cyberattaques que la plupart des entreprises subissent. Car il faut non seulement des professionnels qui sont capables de contrer une cyberattaque en cours mais également de les éviter en sécurisant les réseaux :

• Le « hacker éthique ». Il est le grand spécialiste du hacking et le profil le plus recherché. Son rôle est de s’infiltrer officiellement dans les systèmes informatiques des entreprises pour en détecter les failles avant que les criminels ne s’en chargent.
• Spécialiste en gestion de crise cyber. Il gère les attaques lorsqu’elles surviennent en tentant de sécuriser le maximum de données.
• L’architecte de la sécurité informatique. Ingénieur informatique, il est la clef de voûte pour la mise en place d’un système informatique le plus sécurisé.
• Le responsable de la sécurité informatique. Il est un expert de la protection des informations. Il définit et met en place la politique de sécurité et un plan d’actions en cas d’attaque.
• Le juriste-avocat spécialisé en cybersécurité. Son rôle est d’informer l’entreprise sur la réglementation en vigueur et de l’épauler en cas de conflit. Les avocats les défendent lorsqu’elles sont victimes de cyberattaques.

Le hacker éthique est un professionnel de cybersécurité. @B_A, Pixabay

Avec des formations de base de bac+2 à bac+3

Les qualifications exigées dans les métiers de la sécurité informatique sont de haut niveau après un bac+5 ou une école d’ingénieurs. Mais il existe cependant des opportunités à bac+2 ou bac+3, accessibles après une formation en cybersécurité, pour certains métiers comme l’audit, l’expertise en sécurité, la sécurisation du matériel existant.

• Avec le niveau bac+2 :

DUT GEII ou réseaux et télécommunications et BTS SIO ou système numérique informatique et réseaux.

À noter : depuis 2017, le lycée militaire de Saint-Cyr à Paris a ouvert un BTS Systèmes numériques, option cyberdéfense.

• Avec le niveau bac+3 :

Licence pro en sécurité des systèmes informatiques ou cyberdéfense, 38 licences pro recensées. En voici quelques unes pêle-mêle : Réseaux informatiques, mobilité et sécurité de l’IUT de Saint-Malo, administration et sécurité des systèmes et des réseaux de l’IUT de Villetaneuse, Paris 13, Cyber défense anti-intrusion des systèmes d’information de l’université Polytechnique des Hauts-de-France, Exploitation et sécurité des systèmes d'information et des réseaux de l’IUT Lyon 1.

Le top 5 des meilleurs masters des formations en cybersécurité

L’OPIIEC, l’Observatoire dynamique des métiers de la branche professionnelle de l’ingénierie, du numérique, des études de conseil de l’événement, a répertorié 150 formations en sécurité informatique, dont 37 titres d’ingénieur en cybersécurité. Le site meilleurs-masters.com a réalisé un classement annuel des formations en cybersécurité tant dans les écoles que dans les universités et ses 45 masters universitaires.

• 1^er. Mastère spécialisé Cybersécurité, Centrale Supélec  /IMT Atlantique, Cesson-Sévigné ;
• 2^e. MS Cybersécurité du numérique, INSA Lyon ;
• 3^e. MS Technologies du web et cybersécurité, IMT Atlantique, Brest ;
• 4^e. Mastère spécialisé Expert Forensic et cybersécurité, Université de technologie de Troyes-UTT ;
• 5^e. Master informatique Parcours ingénierie des réseaux Communications mobiles et sécurité, université  polytechniques des Hauts-de-France.

À noter : l’Université de Rennes 1 a ouvert à la rentrée 2018 un Master en Cybersécurité pour la Master School EIT Digital.

D’autres parcours de formations en sécurité informatique

Pour faire face aux besoins exponentiels de profils de professionnels en cybersécurité, des formations en tout genre fleurissent, nées à l’initiative de structures publiques, d’entreprises, de centres de formations et d’organismes spécialisés en sécurité. En voici quelques unes :

• Thales et l’AFTI ont mis en place des formations certifiantes par alternance, expert en cybersécurité, concepteur intégrateur en cybersécurité, master sécurité informatique ;
• L’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, est impliquée dans plusieurs programmes de formations continues ou initiales dans le domaine de la sécurité des systèmes d’information ;
• Le CNAM, Conservatoire national des arts et métiers ;
• L’Institut français de sécurité, l’IFS ;
• Orsys formation.

Des cours et des formations gratuits, dédiés à la sécurité informatique, sont par ailleurs proposés en nombre sur le web. Ils ne délivrent pas de diplômes officiels et reconnus mais permettent de s’informer et de se cultiver sur le sujet. C’est le cas du site welivesecurity qui référence une liste d’une quinzaine de cours divers en cybersécurité gratuits disponibles en anglais et en français. Il existe également des MOOC pour se former à la sécurité informatique, comme celui de l’ANSSI ou ceux de la plateforme web my-mooc.com.

La cybersecurité, un enjeu pour les entreprises

La sécurité informatique est devenue un enjeu primordial pour assurer la pérennité des entreprises.

En effet, le nombre de tentatives d’attaques sur les systèmes informatiques est en constante augmentation et cela est dû à un environnement de communication de plus en plus connecté qui influence fortement l’écosystème des PME. Les entreprises s’ouvrent de plus en plus au monde via des technologies comme le cloud ou l’hyper-mobilité ce qui ouvre des brèches par lesquelles les pirates adorent s’introduire.

Ce bouleversement numérique entraîne inévitablement de nombreux types de menaces : espionnage, détournement, vol ou destruction d’information. Les fuites de données et autres attaques peuvent avoir de graves conséquences pour la réputation, l’image et même les résultats économiques de l’entreprise.

Pour illustrer ces propos il est intéressant de savoir qu’en 2019 les USA évaluent le préjudice des cyberattaques à 2,5 milliards de dollars.

Depuis le début de la pandémie, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) souligne également que les attaques de phishing ont été multipliées par 4.

Récemment, ce sont les Hôpitaux de Paris qui ont été victimes d’une gigantesque attaque informatique qui a permis de voler les données personnelles d’1,4 millions d’individus ayant subi un test Covid-19 en Ile-de-France.

Pour réduire les risques d'attaques, il est désormais obligatoire pour les entreprises (privées ou publiques) de prendre conscience de l’importance de la sécurité des réseaux informatiques.

De nombreuses PME commencent à passer à l’action en donnant la possibilité à leurs services informatiques de s'inscrire à une formation en cybersécurité, pour monter en compétence et prévenir les maux aussi bien en interne qu’en externe. Il existe d’ailleurs des formations éligibles au CPF qui peuvent permettrent de monter en compétence pour améliorer son CV et profiter de la hausse de la recherche de profils associés à la sécurité des réseaux.

Le gouvernement Français a lui annoncé un plan de lutte contre la cybercriminalité d’un milliard d’euros pour prendre le problème à bras-le-corps.