Supervision de la sécurité et externalisation : les raisons d’un besoin crucial

Manque chronique de ressources

Fin mai 2022, Microsoft a lancé un plan de compétences cybersécurité avec l’objectif de former 10 000 nouveaux professionnels en France en 3 ans. La raison ?

« Il y a moins d’une personne dédiée à la cybersécurité pour 1 500 employés ».

Une pénurie de talents décrite comme constante par Wavestone : selon le cabinet, fin mars, il fallait compter avec « plus de 15 000 postes disponibles, mais non couverts ». Pour Wavestone, « il y a moins d’une personne dédiée à la cybersécurité pour 1 500 employés, un chiffre trop faible pour faire face aux enjeux actuels ». Le cabinet basait son analyse sur l’étude d’un échantillon de plus de 75 organisations en France, « dont les deux tiers avec plus de 10 000 employés et 15 groupes du CAC40 ».

Selon Fortinet, 77 % des entreprises françaises représentées dans l’édition 2022 de son Cybersecurity Skills Gap Global Research, font état de difficultés pour recruter en cybersécurité. À l’échelle mondiale, celles-ci semblent toucher un vaste éventail de profils avec, en premier lieu, des spécialistes de la sécurité cloud, des analystes de centre opérationnel de sécurité (SOC), des administrateurs sécurité, ou encore des architectes sécurité, entre autres.

Le sujet est loin d’être nouveau. Déjà en janvier 2017, Gérôme Billois, de Wavestone, avançait, dans nos colonnes, des pistes pour essayer de répondre au problème.

Des métiers pas toujours faciles

Les raisons de cette pénurie chronique sont multiples. PwC en avance cinq : une image sectorielle « poussiéreuse », des cursus de formation « trop longs réservés à une élite scientifique », des recruteurs pas toujours bien préparés pour chercher des profils sur le domaine, un manque de mixité, ou encore un manque de reconnaissance de la profession. Mais ce n’est pas tout.

Car le recrutement n’est pas le seul problème de la cybersécurité. Il y a également la rétention. Certains métiers de la cybersécurité sont en effet stressants, trop, ou ennuyeux… trop.

Laurent Besset, d’I-Tracing, décrivait ainsi dans LeMagIT, en juillet 2016, des analystes SOC de premier niveau « entre burn-out et bore-out ». Et d’expliquer que : « entre stress, frustration et donc ennui, la gestion des ressources humaines de ces premiers niveaux est un véritable défi. Dans le pire des cas, les SOC doivent faire face à un turn-over important qui freine fortement l’amélioration continue des processus de détection ». 

Au printemps 2018, le podcast No Limit Secu se penchait d’ailleurs sur le stress au travail dans le petit monde de la cybersécurité, dans un épisode à l’intitulé explicite : « la cybersécurité rend-elle maboule ? ». 

En février 2019, l’ancien RSSI de Publicis, Tom Langford, s’est fait remarquer par un témoignage largement partagé sur les réseaux sociaux et salué par ses pairs, tant pour sa transparence que pour les conseils associés. Deux mois plus tard, Symantec publiait une étude éclairante sur le sujet. 

Des initiatives, mais…

Il y a six ans, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a lancé un label pour la cybersécurité dans l’enseignement supérieur afin de contribuer à répondre au problème. L’Anssi avait alors pour objectif « d’apporter une assurance aux étudiants et employeurs qu’une formation dans le domaine de la sécurité du numérique répond à une charge et des critères définis par l’Anssi en collaboration avec les acteurs et professionnels du domaine (établissements d’enseignement supérieur, industriels, etc.) ».

Seize métiers étaient alors visés pour les niveaux licence et master+ : de technicien de support à RSSI, en passant par consultant, expert et juriste spécialisé en cyberdéfense. Au niveau licence, celui d’expert en test d’intrusion requiert un niveau 3 sur une compétence, celle relative aux… tests d’intrusion. Experts et formateurs doivent également avoir atteint le niveau 3 dans le domaine concerné. Ailleurs, c’est le niveau 2 qui est requis au maximum.

Plus tard, fin septembre 2018, Microsoft et Orange Cyberdefense ont lancé la première promotion de la spécialisation Cybersécurité défensive, en partenariat avec l’ECE, école d’ingénieurs informatique et généraliste. Quelques mois plus tard, IBM annonçait plusieurs nouveaux partenariats avec des établissements d’enseignement supérieur. Son initiative IBM France Academy les accompagne dans la transformation des compétences pour les métiers du numérique et de l’IT en général et sur l’IA en particulier.

Tout le monde ne peut pas avoir son SOC

Mais dans ce contexte – et malgré les efforts autour de la formation –, il n’est pas envisageable pour toutes les entreprises de disposer d’équipes de supervision de la sécurité internes. Ce n’est pas dramatique en soi : de très nombreuses entreprises externalisent certaines fonctions qui ne relèvent pas de leur cœur de métier. De même qu’elles confient leur informatique à des infogéreurs, pourquoi alors ne pas étendre cela à la supervision de la sécurité du système d’information ?

Dans l’Hexagone, les acteurs proposant des offres dédiées ne manquent pas. Il y a bien sûr ceux qui sont certifiés prestataires de détection des incidents (PDIS), mais pas uniquement. La liste des membres de l’InterCERT France donne un aperçu déjà un peu plus complet, avec Advens, Airbus, Almond, Capgemini, Devoteam, Digital.Security, Intrinsec, Orange Cyberdefense, Sekoia, Sogeti, Sopra Steria, Synetis, Thales, Wavestone, XMCO. Mais la liste est plus longue encore, avec par exemple I-Tracing, Trèfle Solution, iTrust, Cyber4U. Le portail cybermalveillance.gouv.fr, recensant tous les prestataires labélisés Expert Cyber, aide à trouver rapidement le prestataire approprié.