Patrice Chelim (CSB.School) : « Il n’y a pas de bonne cybersécurité sans prise en compte des risques métier »

Quel est le positionnement de CSB School ?

Patrice Chelim : CSB.School est une école 100% dédiée à la cybersécurité. C’est une nouveauté sur le marché, car jusqu’à présent la cybersécurité a toujours été considérée comme une spécialisation de fin de parcours des formations en informatique. Nous considérons à l’inverse que la cybersécurité n’est pas une sous-partie de l’informatique mais qu’elle couvre un champ beaucoup plus large.

Si vous prenez des mesures de sécurité sur un PC isolé, vous faites de la sécurité informatique. Quand plusieurs PC sont connectés en réseau, vous commencez à parler de système d’information. Et quand vous inscrivez ce système d’information dans un ensemble plus large, dans une optique métier, alors vous commencez à parler de cybersécurité. Cela couvre des composantes techniques de sécurité informatique, qui sont très importantes, mais aussi des aspects de gestion des risques métier, de gestion de projet, etc. Il n’y a pas de bonne cybersécurité qui ne soit pas associée à un risque métier.

Quel est le principal enjeu auquel vous répondez ?

Patrice Chelim : Un certain nombre d’écoles de cybersécurité telles que la nôtre se sont créées ces dernières années afin de répondre à la pénurie de ressources dont tout le monde connaît les chiffres : entre 15 000 et 30 000 postes vacants en fonction des sources. Ce manque de ressources est à l’échelle française mais aussi européenne (un demi-million de postes vacants) et mondiale (entre trois et quatre millions).

L’enjeu est de savoir comment nous répondons à cette pénurie et comment nous formons des étudiants au-delà du cercle naturel des spécialistes de l’IT. Car même si toutes les écoles informatiques françaises se mettaient demain à former à la cybersécurité, le compte n’y serait pas. Il y a donc de la place pour tout un ensemble d’écoles spécialisées dans ce domaine.

Quels sont vos éléments de différenciation ?

Patrice Chelim : Une de nos particularités est que tous nos étudiants suivent, en tronc commun, des enseignements liés à la cybersécurité industrielle. Notre conviction est que, entre le monde industriel et le monde de l’informatique de gestion, ce n’est pas le même langage qui est parlé. Notre objectif est de combler ce fossé. C’est d’ailleurs une des raisons pour lesquelles nous sommes situés à Lyon, car la région Auvergne-Rhône-Alpes présente un important tissu industriel, ce qui nous offre un formidable terrain de jeu.

Nous sommes convaincus que la prochaine frontière de la cybersécurité sera celle de l’embarqué et des objets connectés. C’est un domaine dans lequel nous avons de l’expertise. Avant d’être cofondateur et dirigeant de CSB School, j’ai moi-même été RSSI d’un groupe industriel. Et quand on parle de cybersécurité embarquée, cela concerne aussi les banques et leurs automates, par exemple, mais aussi le secteur du bâtiment et ses systèmes de gestion technique centralisée (GTC) et de gestion technique du bâtiment (GTB).

Quels autres points de différenciation mettez-vous en avant ?

Patrice Chelim : Nous fonctionnons sur le modèle de la classe inversée car aujourd’hui, les modes de consommation de l’éducation se passent sur portable, chez soi, à distance et en ligne. Donc tout ce qui concerne les connaissances théoriques, c’est-à-dire tous les cours magistraux de deux heures, sont disponibles en ligne. Les étudiants acquièrent leurs connaissances de cette manière et viennent ensuite en classe pour pratiquer. L’intervenant, qui est un intervenant professionnel, approfondit certains points avec eux et répond à leurs questions, tout en leur permettant de s’exercer sur de l’équipement professionnel et de travailler sur des cas pratiques.

L’avantage de cette méthode est que vous êtes dans un dialogue permanent. Les étudiants doivent travailler avant le cours, ce qui les autonomise et les responsabilise. Quant aux intervenants, ils ne sont plus face à des personnes qui attendent que le cours se passe, mais qui leur posent des questions auxquelles ils n’ont d’ailleurs pas forcément toujours les réponses. Cela crée vraiment une relation très sympathique je trouve, fondée sur des échanges.

Quelles spécialisations proposez-vous ?

Patrice Chelim : La première spécialisation concerne la cybersécurité industrielle dont je viens de parler. La deuxième est relative à la gouvernance, au risque et à la conformité, donc à la création d’un système de management de la sécurité de l’information, qui est une des tâches principales du RSSI. Sur la partie conformité, nous abordons des réglementations telles que la loi de programmation militaire, le contrôle des exportations de données, la protection des données de santé. Enfin, notre troisième spécialité est une spécialité de gestion de crise et d’incidents de cybersécurité.

Qu’en est-il des certifications professionnelles individuelles que vous proposez à vos étudiants tout au long de leur parcours ?

Patrice Chelim : Une demi-douzaine de certifications professionnelles individuelles sont incluses dans nos programmes, comme ISO27001, CEH (Certified Ethical Hacker), EBIOS RM et CISSP. Elles sont intégrées dans notre programme de formation, sans coût supplémentaire, que ce soit pour l’étudiant ou pour l’entreprise.

La structure juridique de votre école a été créée en février 2022 et vous avez accueilli vos premiers étudiants en septembre 2022. Combien sont-ils au total ?

Patrice Chelim : Nous accueillons aujourd’hui 100 étudiants, toutes années confondues. Nous avons doublé ce chiffre par rapport à notre première année d’existence. Notre objectif est de le doubler à nouveau à partir de la rentrée 2024, pour passer à 200 étudiants.

Comment réagissent les entreprises par rapport à cette nouvelle « offre » de candidats qui arrive sur le marché ?

Patrice Chelim : Nous aurions pu créer une école en nous disant que nous allions former des étudiants à la cybersécurité et que, comme le marché de la cybersécurité est en pénurie, chaque étudiant trouverait un emploi très facilement. Mais dans les faits, ce n’est pas vrai, car la cybersécurité reste un marché de l’emploi assez peu mature. C’est un cercle de « happy few » qui se connaissent tous.

Nous avons la chance de connaître ce monde-là et de posséder un réseau. Notre engagement est donc de mettre en relation un étudiant, qui a un profil, et une entreprise, qui exprime un besoin que nous avons qualifié en amont. Il y a beaucoup d’étudiants qui ont envoyé des CV partout sans être pris. Notre rôle est de les accompagner, de les aider, afin de passer les premières étapes.

Concernant la réaction des entreprises à notre offre, qui est nouvelle sur le marché, nous constatons la chose suivante : l’année dernières, 99% des alternances ont été trouvées par l’école. Cette année, nous sommes autour de 80%. C’est là que nous voyons la traction des entreprises qui commencent à nous connaître et qui, si un étudiant se présente à elles, le prennent en alternance.