![[Spécialiste cyber,] métier sous haute tension](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-2160x735.jpg)
Spécialiste cyber, métier sous haute tension
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Hémorragie de talents à la DGA ! La Direction générale de l’armement et d’autres agences gouvernementales liées à la cybersécurité peinent à recruter et à conserver leurs compétences, souligne un rapport parlementaire. Pas étonnant, même le secteur privé – et ses salaires plus attractifs – est en manque criant d’ingénieurs cyber. Les entreprises sont à la peine, les candidats se frottent les mains.
Alors que le président de la République a publiquement évoqué « le durcissement de la Russie », citant notamment les opérations cyber de Moscou, c’est la fuite des cerveaux cyber à la DGA ! Révélée par nos confrères de La Lettre, le rapport parlementaire « sur les défis de la cyberdéfense », publié le 17 janvier dernier, pointe la difficulté de retenir les compétences cyber dans les organismes liés à la Défense nationale, et notamment à la Direction générale de l’armement.
« Les démissions ont augmenté dans l’ensemble des métiers de la DGA et particulièrement en 2022 pour la cyberdéfense. La tendance forte observée en 2022 continue sur un rythme encore plus soutenu en 2023 », soulignent les rapporteurs, Anne le Hénanff (Renaissance) et Frédéric Mathieu (La France insoumise). Une hémorragie qui touche l’ensemble des personnels, des plus « qualifiés et expérimentés […] ce qui fait porter un risque majeur sur le maintien d’un “squelette” de compétences, à même de maintenir au meilleur niveau la technicité cyber de la DGA », aux jeunes recrues. « La DGA assiste également à une augmentation des démissions d’ingénieurs ayant deux ans, ou moins, d’expérience, ce qui ne permet pas de “rentabiliser” l’important effort consenti par le ministère en matière de formation », déplorent en effet les parlementaires.
En cause, des rémunérations plus basses à la DGA que dans les autres agences étatiques employant des compétences cyber : le salaire d’entrée d’un ingénieur cyber à la DGA se situe à 2 350 euros, contre 2 400 à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) d’après ce même rapport du Parlement.
« La sécurité de l’emploi est liée à la compétence et non à un statut »
Un écart qui se creuse après 11 ans d’expérience : 3 300 euros à la DGA contre 4 000 à l’ANSSI ou 5 300 à la DGSI (Direction générale de la Sécurité intérieure). Surtout, pour une spécialité recrutant 75 % de civils, pour qui « la sécurité de l’emploi est liée à la compétence et non à un statut », selon les termes du rapport, la fonction publique est bien moins attractive que le secteur privé, où leur expertise se monnaye au prix fort, tant « le marché est structurellement déficitaire », reconnaissent Anne le Hénanff et Frédéric Mathieu.
Harmonisation des grilles salariales, « parcours croisés » pour dynamiser les carrières ou « pacte de non-agression » entre agences de renseignement pour éviter les débauchages agressifs, autant de pistes qu’avancent les deux députés pour tenter de remédier au problème. Ils évoquent aussi des idées plus polémiques, comme de faire jouer pour les ingénieurs cyber de la DGA l’article 42 de la loi de programmation militaire. Ce dernier permet d’empêcher les militaires détenteurs d’informations ou de savoir-faire sensibles d’aller travailler dans certaines entreprises une fois revenus à la vie civile, au nom « des intérêts fondamentaux de la Nation en cas d’activité privée en rapport avec une puissance étrangère ». Empêcher les civils experts en cybersécurité de construire leur carrière à leur guise, voilà probablement un excellent moyen de les décourager de postuler à la DGA, reconnaissent pourtant nos deux parlementaires dans le langage feutré propre à ce type de rapport : « dans un contexte de forte concurrence sur le marché de l’emploi, toute contrainte supplémentaire fait peser un risque sur l’attractivité du ministère ».
« Le marché est structurellement déficitaire »
De fait, la fonction publique n’a pas besoin de se mettre des bâtons dans les roues pour avoir du mal à recruter. Si la DGA et d’autres agences publiques embauchent une grande majorité de civils pour les fonctions cyber, c’est que d’une part « les concours d’ingénieurs fonctionnaires rencontrent un succès mitigé, avec plus ou moins 50 % de postes pourvus », selon le rapport parlementaire, et que d’autre part, les experts cyber tiennent la dragée haute sur un marché de l’emploi en pénurie chronique de compétences de ce type.
Le dernier baromètre des métiers de la cybersécurité publié en juillet 2023 par l’ESG (Enterprise Strategy Group) et l’Information System Security Association International (ISSA), souligne cette situation alarmante. Selon « The Life and Times of Cybersecurity Professionals volume VI », « 71 % des organisations affirment être touchées par la pénurie de compétences en cybersécurité, ce qui représente une augmentation de 14 % par rapport à 2021. Plus inquiétant, celles citant des impacts significatifs sont également passées de 12 % en 2021 à 27 % en 2023 ». 88 % des personnes interrogées affirment qu’il est « extrêmement difficile », « difficile » ou « relativement difficile » de recruter des pros de la cyber.
Cette étude menée auprès de professionnels des secteurs privés et publics aux États-Unis, mais aussi en Europe, Asie, Afrique et Amérique latine, détaille les conséquences de cette pénurie mondiale.
« 71 % des organisations touchées par la pénurie de compétences en cybersécurité »
Près de la moitié (49 %) des offres d’emploi restent vacantes des semaines, voire des mois, la charge de travail augmente pour 61 % des équipes interrogées et 43 % des répondants se plaignent d’un taux élevé de burn-out et d’attrition parmi les professionnels de la cybersécurité. 39 % d’entre eux peinent à se former ou même à utiliser pleinement les technologies de sécurité à leur disposition et près d’un tiers (30 %) se plaignent que leur structure ait embauché des juniors faute de candidats plus expérimentés.
Le cabinet de conseil Wavestone confirme cette tendance alarmante. Son étude « Maturité cyber en France » d’avril 2023 affirme que « plus de 15 000 postes sont disponibles, mais non couverts » et que parmi les répondants, « il y a environ une personne dédiée à la cybersécurité pour 1 300 employés, un chiffre trop faible pour faire face aux enjeux actuels ». Afin d’attirer de nouveaux publics vers ces métiers, le ministère de l’Éducation nationale, l’ANSSI et le Campus Cyber ont lancé fin 2023 une campagne nationale « Demain Spécialiste Cyber », pour faire découvrir les métiers de la cybersécurité aux jeunes et aux étudiants. Témoignages, quizz, infos pratiques, le site cherche à démystifier les professions liées à la sécurité informatique et à attirer de nouveaux profils, notamment les femmes, largement sous-représentées dans le secteur.
Cependant, le paysage n’est pas près de s’éclaircir pour les recruteurs : la récession (ou quasi-récession) comprime les budgets et rallonge les délais d’embauche alors même que la menace ne faiblit pas.
Craintes « que les compétences s’évaporent »
Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), en 2023, 49 % des entreprises ont constaté la réussite d’au moins une cyberattaque, un chiffre qui reste stable par rapport à 2022. Cependant, l’accroissement des menaces internationales et de grands événements comme les Jeux olympiques risquent fort d’accroître la tension sur le marché de l’emploi de la cybersécurité. La surface d’attaque de l’événement est en effet gigantesque : quinze sites de compétition pour les Jeux olympiques et onze pour les Jeux paralympiques, dans la capitale et quatre départements voisins, dont la Seine–Saint-Denis, qui accueillera le village olympique et celui des médias. Le CIO a même mobilisé plusieurs stades de province et Tahiti pour l’épreuve de surf. Entre celles d’acteurs étatiques, politiques ou criminels, le ComCyberGend (Commandement de la gendarmerie dans le cyberespace) anticipe au moins 4,4 milliards d’attaques potentielles, le nombre de cyberattaques qu’ont subi les JO de Tokyo !
Et l’un des deux principaux prestataires en cybersécurité des Jeux, Atos, est en pleine restructuration et devrait probablement être scindé en deux. D’un côté, on trouverait Eviden, qui rassemble le cloud ainsi que les activités de Big Data et Sécurité, c’est-à-dire les activités stratégiques de cybersécurité et les supercalculateurs. De l’autre, Tech Foundations (TFCo) regrouperait les activités historiques de conseil et d’infogérance. Problème, rien ne dit que cette opération à multiples rebondissements soit bouclée pour les JO.
Comment, dès lors, motiver les troupes et surtout s’assurer qu’elles soient encore sur le point le moment venu ? Lors du sprint final, Atos/Eviden devra recourir à pas moins de 3 000 ingénieurs à temps plein. « Notre crainte, c’est que dans ce climat d’incertitude qui pèse sur l’entreprise, un grand nombre de salariés aillent voir ailleurs et que les compétences s’évaporent », s’inquiétait un représentant de l’État, cité par Le Canard enchaîné du premier novembre dernier. Pourquoi en effet rejoindre ou même rester dans une entreprise à l’avenir incertain, alors que l’on est en position de force sur le marché du travail ? Il y a cependant fort à parier que les salaires chez Atos soient plus attractifs que ceux de la DGA…