- Accueil
- Cybersécurité
- Les certifications en cybersécurité à l’aube d’une nouvelle ère ?
Les certifications en cybersécurité à l’aube d’une nouvelle ère ?
Un « Graal ». C’est ainsi que Julien Bui, Chief Security Officer chez Fabriq et Responsable des contenus au CESIN, qualifie le CISSP (Certified Information Systems Security Professional) :
« c’est une certification reconnue dans le monde entier. Il y a 100 000 personnes certifiées aux États-Unis et moins de 1 500 en France. C’est la certification phare pour la technique organisationnelle. »
Un titre précieux, mais qui reste l’apanage des professionnels déjà expérimentés et argentés. En attendant de le devenir, les plus jeunes membres de la communauté cyber ont le choix entre 800 autres certifications presque toutes américaines. Même si ce mode de classement peut sembler sommaire, elles se répartissent entre deux grands domaines : expertise technique et gouvernance.
Certifications « décrédibilisées » ?
Dans le premier domaine de l’expertise technique, Nicolas Sabben, directeur national de la pédagogie de la Guardia Cybersecurity School, estime qu’il faut y distinguer trois catégories :
- La première concerne la sécurisation du développement logiciel : « ce sont des certifications comme PASSI, CREST, CEH, OSCP (OffSec Certified Professional) ou encore GWAPT, eWPT et OSWE pour le pentest d’applications web. Elles permettent d’apprendre à développer de manière sécurisée et à tester les programmes, à l’instar du test d’intrusion. »
- La seconde couvre la sécurité des infrastructures, des systèmes et des réseaux. « La CISSP prend en compte cette dimension, de même que les certifications propres à certaines entreprises comme Cisco (type CCNA 7) ou Microsoft », estime le spécialiste.
- La troisième est celle de la rétro-conception et de la science forensique : « ces certifications permettent de mener de véritables enquêtes numériques suite à des incidents. À proprement parler, il ne s’agit plus de cybersécurité mais de cyber défense. »
De l’autre côté, les certifications relevant de la gouvernance permettent de s’assurer que leurs détenteurs maîtrisent les bonnes pratiques en matière de système de management de la sécurité de l’information et de la gestion des risques. Elles souffrent parfois de la comparaison avec leurs homologues plus techniques, estime Julien Bui : « certaines certifications comme l’ISO 27001 sont décrédibilisées parce que les gens sont formés en cinq jours avec un examen final. Ces personnes obtiennent un niveau d’auditeur ou lead auditeur mais qui n’est pas du tout démontré dans la pratique. »
Un critère de tri
Une situation qui tient à l’afflux de « jeunes sans expérience », selon Julien Bui : « cette course a commencé avec l’explosion des besoins en spécialistes de cybersécurité qui date du milieu des années 2010 après une série de cyberattaques qui ont touché des hôpitaux et des collectivités territoriales en particulier. » Les JO de Paris et les nouvelles contraintes réglementaires ont aussi conduit à une nouvelle demande de spécialistes : « des personnes qui n’ont pas toujours fait des études d’informatique, voire de sécurité informatique, y ont justement vu une opportunité. » Les spécialistes du recrutement pointent un autre effet indésirable de la multiplication des certifications. « Certaines ESN jouent de cette pratique afin d’augmenter le niveau de facturation de leurs consultants », estime Adrien Leroy, Practice Manager Senior chez Michael Page.
Malgré leurs défauts, les certifications gardent des partisans. Elles constituent une aide utile pour les RH, selon Jean-François Louâpre, RSSI de Agrial : « si vous embauchez beaucoup de monde très vite et que vous êtes une activité ou une marque visible qui attire des candidats, la certification sera un bon critère de tri pour une première sélection. »
De la certification à la fidélisation ?
Le coût d’une certification pouvant atteindre 2 000 euros, certaines entreprises le prennent à leur charge pour faire d’une pierre plusieurs coups : attirer des talents jeunes mais impécunieux tout en vérifiant leurs capacités. « Lorsque des organisations se trouvent face à des candidats qui affirment avoir une grande maîtrise dans le domaine de la cybersécurité, elles proposent de financer la certification durant la période d’essai, à charge pour les nouvelles recrues de réussir à obtenir le précieux sésame et ainsi avoir l’assurance de passer sans encombre la période d’essai », explique Axel Dreyfus, directeur général de l’École 2600.
Au-delà du recrutement, proposer à des collaborateurs de passer la certification peut aussi devenir un argument de fidélisation en augmentant leurs compétences et donc leur employabilité. Une attitude qui n’est pas encore consensuelle, note Axel Dreyfus : « certains défendent la thèse inverse en disant que s’ils forment leurs collaborateurs, ils vont leur demander une augmentation de salaire ou partir ailleurs. »
Plus de certifications françaises… pour la conformité ?
L’évolution du contexte réglementaire risque de modifier le centre de gravité de l’univers des certifications pour donner plus d’importance aux enjeux de gouvernance et de conformité, estime Benoît Fuzeau, président du CLUSIF : « une quarantaine de législations devraient arriver dans les années à venir, parmi lesquelles NIS 2 et DORA. Les entreprises vont donc chercher des gens qui auront des capacités dans la gouvernance et qui sauront dire si l’entreprise est conforme. Et ce sont des compétences qui ne sont pas d’ordre purement technique. »
Cette inflation réglementaire va-t-elle donner plus de poids aux gestionnaires des politiques de sécurité au sein de la communauté cybersécurité ? Va-t-elle enfin susciter la création de certifications françaises et européennes adaptées à ce nouvel environnement alors que ce marché est encore capté par des offres américaines ?
Une orientation plausible, selon Jean-François Louâpre : « la technique seule ne peut suffire. Elle a besoin pour être efficace, de pilotage, de gouvernance et d’analyse de risque. Aujourd’hui, on ne peut pas tout protéger, tout sécuriser parce que cela coûterait excessivement cher. Il faut donc avoir une démarche de protection de ce qui est vraiment important, d’où l’importance des certifications fonctionnelles qui permettent une meilleure gouvernance ». En intégrant la cybersécurité dans un domaine normatif spécifique et toujours plus contraignant, l’Union européenne favorise de fait la montée en puissance des certifications assurant la conformité.
la newsletter
la newsletter