Ce chiffre de 1 million ( ! ) d'emplois vacants en sécurité circule depuis quelques années déjà et n'est sans doute qu'une sous-estimation des besoins réels. Un besoin qui ne fait d'ailleurs que se renforcer. C'est ainsi que certaines études évaluent la pénurie d'experts en sécurité à 3,5 millions de personnes à l'échelle mondiale d'ici 2021. Et en Belgique également, le besoin de spécialistes en sécurité ne fait que croître, les sites d'emploi affichant facilement des centaines de candidatures.

D'ailleurs, de nombreuses raisons justifient les tensions sur le marché de l'emploi en sécurité IT et cyber-sécurité. Songeons aux modes d'attaque toujours plus nombreux des criminels, terroristes, services d'espionnage (également de la part de concurrents commerciaux) et autres pirates amateurs. Sans parler des exagérations de la part de personnes incompétentes ou des négligences dans le secteur de l'Internet des objets et de l'automatisation industrielle. Dans le même temps, on voit apparaître de nouvelles législations visant à mieux protéger les données, et notamment le Règlement Général européen sur la Protection des Données (RGPD). " Les données personnelles doivent être traitées de façon à garantir une sécurité appropriée [...], à l'aide de mesures techniques ou organisationnelles appropriées ", dixit l'article 5. Bref, il est temps de se mettre à l'ouvrage.

Il s'agit de faire fonctionner son cerveau différemment plutôt que de connaissances au sens strict.

Profil idéal

Quels sont les candidats les plus recherchés ? Informaticiens, techniciens, vétérans des services de police ou de l'ordre (LEO), autres ? Selon James Lyne, responsable Recherche & Développement pour le spécialiste de la formation en sécurité SANS Institute, les seuils pour les informaticiens et vétérans LEO sont certes plus bas, mais il s'agit en général souvent d'une question d'envie de se recycler. De faire fonctionner son cerveau différemment plutôt que de connaissances au sens strict. Ainsi, il est important de pouvoir extraire rapidement, au départ de gros de volumes de données, les informations les plus pertinentes et de les analyser correctement - l'une des 17 caractéristiques sur lesquelles sont testés les candidats à la formation au SANS Institute.

D'ailleurs, la demande concerne tous les spécialistes, jusqu'aux plus populaires comme les experts en test de pénétration, même si les demandes les plus nombreuses concernent les capacités blue team (expertises spécifiques en défense). Par ailleurs, il ne faudrait pas oublier les compétences relatives à la sécurisation des nouveaux points finaux (smartphones, etc.), bref, tout appareil susceptible de traiter des données. Ceux-ci renferment les mêmes risques que les systèmes classiques, même si l'approche de la sécurité peut être différente. De plus, il ne faudrait pas oublier le terrain encore largement inexploré de l'Internet des objets, qu'il s'agisse de thermostats ou de compteurs intelligents, de voitures autonomes ou de villes intelligentes. La grande diversité (et le nombre) d'appareils IoT, l'extrême rapidité de l'évolution technologique, les différences fondamentales avec la sécurité d'entreprise et le manque flagrant de prise de conscience face à la problématique ouvrent des perspectives insoupçonnées en sécurité, tant de la consultance que du test de pénétration en passant par les couches basses des systèmes IoT.

Quelle approche ?

Quelle approche adopter pour ce recyclage ? " Il existe plusieurs types d'apprentissage, souvent en fonction de chaque personne ", explique James Lyne, évoquant le choix entre un cours classique et en ligne. " Une formation classique permet d'entrer en contact avec des personnes qui ont l'expérience de ces questions et peuvent alors donner des formations pratiques. " Pour Lyne en effet, une expérience de terrain constitue la clé de la réussite : on apprend sur le tas et non en lisant la théorie. Et cet apprentissage porte non seulement sur les outils classiques, mais aussi sur la manière de raisonner et de travailler des pirates. A noter en l'occurrence l'importance des exercices virtuels, et notamment de l'offre Netwars du SANS Institute (avec une approche de type gamification).

Pour viser une fonction plus élevée, il est préférable de s'intéresser aux 'compétences' que les employeurs recherchent vraiment et d'essayer de les acquérir.

Par ailleurs, il ne faudrait pas négliger les différents programmes de certification qui existent dans le monde de la sécurité, qu'il s'agisse de certificats plus commerciaux (chez Cisco et Microsoft par ex.) ou de certifications indépendantes de produits (notamment proposées par le SANS Institute, Isaca et autres). " Souvent, les personnes suivent une certification pour décrocher un premier emploi, note encore Lyne, ce qui permet de convaincre de la pertinence d'une expertise. Et pour viser une fonction plus élevée, il est préférable de s'intéresser aux 'compétences' que les employeurs recherchent vraiment et d'essayer de les acquérir. "

Précisons qu'Isaca - l'association internationale des auditeurs et spécialistes en sécurité - a mis en place un certificat spécifique pour les nouveaux-venus, à savoir le programme CSX (Cybersecurity Nexus). Celui-ci propose d'aborder tant les fondamentaux (CSXG, concepts de base) que la certification practioner (CSXP, connaissances de terrain). Les examens se passent en ligne après avoir suivi les cours virtuels ou ateliers (en Belgique également).

Mais les universités et hautes écoles s'intéressent aussi toujours plus à la formation et au recyclage en sécurité. C'est ainsi que Howest propose depuis un certain temps déjà le programme Computer & Cyber Crime @home (CCCP@Home) pour ceux qui combinent travail et formation. Le site du Centre for Cyber Security Belgium (ccb.belgium.be) propose un aperçu de l'ensemble des formations/cours liés à la sécurité ICT que proposent les hautes écoles et universités belges. Et pour ceux qui veulent rester plus proches de l'ICT, il existe également un cours annuel SecAppDev (une semaine), ciblant le développement de logiciels sécurisés - une initiative de la KULeuven et la Solvay Business School (en collaboration avec l'Owasp).

Long terme

Reste évidemment à savoir si la pénurie de spécialistes en sécurité (et en particulier de profils débutants) pourra être comblée par une automatisation plus poussée des tâches de sécurité. Aujourd'hui déjà, des entreprises planchent sur des produits et services de nouvelle génération s'appuyant toujours plus sur l'IA, l'apprentissage machine/en profondeur, l'intégration de la thread intelligence (connaissance des menaces graves), etc. Compte tenu de l'évolution rapide du paysage des risques, ces nouveaux développements exigeront une formation continue et un approfondissement des compétences (notamment dans des technologies comme la chaîne de blocs).

Entre-temps, les spécialistes en sécurité restent particulièrement recherchés. Pourquoi ne pas dès lors envisager un changement de carrière...