Formation française en cybersécurité : état des lieux
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Pour fournir une main d’œuvre qualifiée, une filière de formation en cybersécurité est en train d’émerger. Mais en quoi consiste une formation en cybersécurité ? Présentation de cette filière destinée à gagner en importance.
La grande majorité des formations ont lieu dans les écoles d’informatique ou d’ingénieur. Les établissements exclusivement consacrés à la formation en cybersécurité (Cyberschool, École Européenne de la Cybersécurité ou les futurs écoles Guardia ou le Campus Cyber) sont peu nombreux et extrêmement récents.
Parmi la diversité d’offres disponibles, il est possible de voir un modèle dans le label SecNumEdu de l’ANSSI. Il a été établi au moyen d’un cahier de charges énumérant les compétences jugées nécessaires pour la protection numérique d’entreprises ou d’agences publiques.
De 26 en 2017, année de la création du label, le nombre de formations initiales reconnues est passé à 66 au mois de janvier 2022. On y trouve aussi bien des licences professionnelles, que des masters ou des diplômes d’ingénieurs et des masters spécialisés.
Le contenu de l’enseignement
Pour être labellisée, une formation en cybersécurité doit prévoir au moins 400 heures de cours théoriques et de travaux pratiques portant sur les disciplines de la cybersécurité. Celles-ci sont indiquées ci-dessous :
Gestion : Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité ; Politique de cybersécurité et SMSI ; Prise en compte de la sécurité dans les projets ; Sécurité des systèmes spécifiques et émergents.
Hacking : Cyberdéfense ; Analyse post-mortem (Forensic) ; Tests d’intrusion.
Sûreté : Sécurité de l’électronique et des architectures matérielles ; Sécurité des systèmes d’exploitation ; Sécurité des réseaux et protocoles ; Sécurité des bases de données ; Sécurité des services externalisés ; Sécurité physique.
SI : Fondamentaux des systèmes d’information ; Certifications et évaluations de produits ; Développement logiciel et ingénierie logicielle (sous l’angle de la sécurité) ; Rétro-ingénierie ; Contribution des architectures à la sécurité.
Autres : Cryptologie ; Stéganographie et tatouage ; Droit et réglementation ; Aspects sociaux et sociétaux ; Aspects économiques de la sécurité.
Selon la majorité du type d’activités accomplies, une formation sera à dominante « technique » ou « organisationnelle ».
– Les étudiants d’une formation technique travailleront sur la configuration de réseau, de logiciel ou de système d’exploitation ou se perfectionneront dans des disciplines telles que les investigations forensiques ou la cryptologie. La majorité des formations concernées (63 sur 66) sont dans cette situation.
– Les formations organisationnelles privilégient les travaux d’analyse des risques, de définition des mesures de sécurité numérique ou encore d’audit des systèmes existants. Trois formations ont cette spécialité.
– Une formation peut enfin être spécialisée si elle consacre au moins la moitié de son temps de formation (cours et travaux pratiques) à l’une des thématiques de la cybersécurité. Vingt-cinq formations ont une spécialité et la majorité d’entre elles portent sur la sécurité des réseaux.
Afin d’assurer la professionnalisation des détenteurs d’un diplôme, certaines formations ont le statut de certifications professionnelles. Il s’agit de la reconnaissance de la maîtrise de compétences obtenues par le diplôme. Une certification professionnelle est la preuve de la maîtrise de compétences présentées de manière précise sous la forme de blocs de compétences, c’est-à-dire d’activités concrètes à réappliquer en situation professionnelle. Un répertoire de ces certifications est disponible auprès de l’organisme France Compétences créé lors de la réforme de la formation professionnelle de 2018.
Il est possible de découvrir les formations inscrites à ce répertoire en y entrant le code de nomenclature de spécialité de formation correspondant à la sécurité informatique ou le code issu du Répertoire Opérationnel des Métiers édité par Pôle Emploi et de l’Emploi correspondant aux métiers des systèmes d’information et de télécommunication. Selon que l’on entre le premier ou le second de ces codes on obtiendra entre 81 et 101 diplômes ou titres professionnels inscrits.
La formation continue en cybersécurité
La formation continue pour des travailleurs en poste est aussi importante en cybersécurité. 47 % des personnes qui travaillent dans le domaine de la cybersécurité n’ont ni diplôme ni certification professionnelle en cybersécurité. Elles sont issues de fonctions de la gestion du Système d’Information ou de la sûreté et ont dû découvrir ce nouveau métier.
Pour les y aider, de nouveaux acteurs comme Le Wagon, Simplon ou encore Open Class Room se sont spécialisés dans la formation en informatique. Des partenariats entre ces établissements et des grands groupes ont eu lieu pour former leurs salariés.
La cybersécurité fait partie des disciplines étudiées lors de ses partenariats. En septembre 2019, l’école informatique Simplon a accueilli une promotion de huit salariés de La Poste pour un programme de formation continue en alternance. D’une durée de 10 mois, elle leur a permis d’obtenir le titre professionnel de « Technicien Supérieur et Réseaux ». Une collaboration entre les deux établissements qui s’étaient déjà associés pour former une cinquantaine de développeurs-web. Les formations continues peuvent aussi faire l’objet du label SecNumEdu.
Les limites de la formation actuelle en cybersécurité
La première limite en matière de formation est la difficulté d’associer un métier de la cybersécurité à une liste de diplômes. Si l’ANSSI et le Syntec (via son organisme de prospective, l’OPIIEC) ont défini et classé ces métiers en catégories, l’équivalence avec les diplômes reconnus par l’État ne se fait qu’au niveau du domaine professionnel. Par conséquent, il n’est pas encore possible de connaître la liste complète des diplômes pour devenir analyste en cybersécurité ou RSSI.
L’offre de formation manque donc de lisibilité. L’obtention du label SecNumEdu et l’inscription aux RNCP d’une certification ne sont pas obligatoires. Consulter ces listes de diplômes ne permet donc pas d’avoir un aperçu exhaustif des formations disponibles en France en cybersécurité. La dernière tentative réalisée par l’Opiiec date de 2017 et avait recensé environ 150 offres.
Ce problème concerne aussi la formation continue. La nomenclature de spécialité de formation (NSF), qui sert à définir l’offre des organismes présents sur le marché, ne reconnaît pas la cybersécurité. Ceux qui abordent ce sujet font partie de la catégorie « informatique » (NSF. 326) qui compte plus de 7 000 organismes.
Une autre limite de l’offre actuelle de formation existante est la rapidité avec laquelle les connaissances à maîtriser évoluent. Les moyens d’apprentissage traditionnels ne sont donc pas utilisés par les professionnels du secteur pour mettre leurs compétences à jour. Dans une étude de l’ANSSI, ils sont 86 % à souhaiter compléter leur formation mais 84 % d’entre eux préfèrent pour cela la veille sur les réseaux sociaux et 79 % l’autoformation.
Le secteur de la cybersécurité doit alors relever deux défis : se structurer pour former le plus grand nombre de professionnels et maintenir une culture de l’échange et de la transversalité pour permettre la collaboration de spécialistes provenant de disciplines très diverses.