Comment bien choisir sa formation en cybersécurité ?

Group of Multiethnic People Using Digital Devices.
Group of Multiethnic People Using Digital Devices.

La cybersécurité est une filière en plein développement. Selon une étude réalisée par le cabinet EY pour l’OPIIEC (Observatoire Paritaire de l’Informatique, de l’Ingénierie, des Études et du Conseil) en 2017, les entreprises de la branche prévoient une augmentation des effectifs en cybersécurité de 8% d’ici 2022. Cependant, les candidats ne sont pas encore en nombre suffisant pour combler les besoins croissants des organisations en expertises techniques. D’où l’importance du rôle de la formation dans ce secteur structurellement sous-tension.

 

En parallèle, la diversité des menaces est de plus en plus importante, tout comme la motivation des attaquants : cybercriminalité, vol de données, espionnage, sabotage, déstabilisation… On observe par exemple une recrudescence de ce qu’on appelle « l’ingénierie sociale ». Les pirates vont utiliser des ressorts psychologiques pour manipuler les collaborateurs. C’est l’exemple typique de l’arnaque au président. Sans parler des pièces jointes vérolées ou des mails renvoyant vers des sites Internet identiques en apparence à l’original. Dans ces cas-là, la formation est moins technique que culturelle, et touche l’ensemble des collaborateurs d’une entreprise.

Les besoins en formation sont donc nombreux. Les offres doivent s’adapter aux profils des apprenants, couvrir l’ensemble des métiers du secteur (management, gouvernance, chefferie de projet, gestion des risques, gestion des incidents, audit) et évoluer dans le temps pour tenir compte des nouveaux vecteurs d’attaque.

 

Les 3 grandes étapes d’une formation en cybersécurité

L’offre de formation aux métiers de la cybersécurité est relativement bien structurée. Près de 150 formations longues initiales sont dispensées par des établissements d’enseignement supérieur (licence, master, master spécialisé, diplôme d’ingénieur…) et plus de 400 modules de formations courtes ont été recensés par l’OPIIEC auprès des organismes de formation continue. Le grand public est également de plus en plus sensibilisé aux bonnes pratiques de la cybersécurité, notamment à travers les outils pédagogiques développés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Le sujet est donc abordé sur différents fronts. Évidemment, le contenu des formations dépend de la filière métier sur laquelle les stagiaires souhaitent monter en compétence, mais on observe tout de même de grandes tendances dans la composition des programmes :

  • Un socle technique de base

On dit souvent qu’un bon expert en cybersécurité est avant tout un bon technicien. Le profil des apprenants étant très hétérogène (de l’ingénieur réseau qui souhaite se spécialiser en sécurité informatique au béotien en quête d’une reconversion professionnelle), il est important que les promotions de stagiaires acquièrent le même niveau de technicité sur un tronc commun de compétences.

  • Le point de vue de l’attaquant

« Connais ton ennemi et connais-toi toi-même, eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux » disait Sun Tzu dans L’Art de la Guerre. En cybersécurité comme sur les champs de bataille, il est important d’étudier de près les différentes techniques d’attaque, et de faire l’audit de ses propres vulnérabilités, pour mettre en place les meilleures contremesures. Ces modules de formation commencent généralement par des étapes de sensibilisation aux enjeux et aux impacts des différents types de menaces, et peuvent être complétés par des exercices pratiques de stratégies attaque / défense.

  • Une spécialisation métier

L’ANSSI recense 16 profils métier en lien avec la cybersécurité sur son site Internet, répartis en cinq grandes catégories : Pilotage, Organisation et Gestion des risques (POG), Management de projets et cycle de vie (MPC), Opération et maintien en condition opérationnelle (OMCO), Support et Gestion des incidents (SGI), Conseil, Audit et Expertise (CAE). Chacun de ces métiers ayant ses propres spécificités, la dernière partie de la formation consiste à acquérir un savoir-faire de pointe sur un champ plus restreint de la cybersécurité.

 

À quoi reconnaît-on une bonne formation en cybersécurité ?

Le meilleur des programmes est celui qui joue avec les trois dimensions de l’apprentissage : la sensibilisation (acculturation), la formation (acquisition de compétences) et l’entrainement (exercices pratiques).

La sensibilisation permet de travailler sur le comportement, d’ancrer les bonnes pratiques dans les habitudes, de faire naitre des automatismes. Elle se fait à force de répétitions visuelles ou sonores d’un même message sur la durée. À l’image de la ceinture de sécurité que l’on boucle désormais systématiquement en voiture.

La formation permet d’acquérir des compétences, une expertise technique, un savoir-faire, que le cyber-entrainement va pouvoir maintenir et faire évoluer dans le temps. Cette étape de l’entrainement est un vrai plus des meilleures formations en cybersécurité. On constate une plus grande efficacité pédagogique, un meilleur taux de rétention de l’information lorsque les stagiaires s’exercent régulièrement sur des cas pratiques concrets.

 

Vers une transformation des compétences en interne

Certains grands groupes mettent en place des programmes de transformation des compétences en interne pour pallier la pénurie des talents en cybersécurité. Cette stratégie présente un double avantage : cela donne de nouvelles perspectives de carrière aux collaborateurs de l’IT et l’entreprise capitalise sur leur parfaite connaissance des infrastructures en place.

Ces « cyberschools » internes sont d’ailleurs de très bons niveaux. Les cursus s’étalent sur une période d’une à deux années et font appel à des formateurs externes pour monter les programmes.

 

L’augmentation des incidents de sécurité dans les entreprises met en lumière le déficit critique d’experts français en cybersécurité. Pourtant, les dispositifs de formation existent, et sont souvent d’excellentes factures. Mais ils peinent encore à recruter un nombre suffisant de candidats pour satisfaire les besoins des organisations. La problématique de la formation est l’inertie. Cela prend du temps pour monter un vivier de compétences solides, capables de contrer des menaces sophistiquées comme les derniers ransomwares en date. L’une des pistes à suivre est sans doute celle qui est en train de naître dans les plus grandes entreprises, une « cyberschool » interne en charge de compléter les compétences IT des collaborateurs avec une couche cybersécurité.

Tony COURTEL
Tony COURTEL

Responsable Pôle Commercial Formation

Tony COURTEL est Responsable Pôle Commercial Formation au sein de Sysdream, la division cybersécurité de Hub One. Passionné de musique, c’est en jouant et en écoutant les standards des années 60/70 que Tony se détend. Quand vient le moment de se dépenser, il varie différentes activités sportives selon son humeur. Il apprécie également le calme des montagnes et les paysages de Bretagne où il aime se ressourcer. Loin d’être « accro » aux gadgets, Tony trouve son bonheur dans les brocantes et vieilleries. Ceci dit s’il y a bien un gadget dont il pourrait difficilement se séparer, cela serait son GPS pour l’aider à retrouver son chemin lorsqu’il déniche ses trouvailles ou qu’il se balade en VTT !
Pour garder une longueur d'avance, abonnez-vous

Besoin de plus d'informations