La pénurie de main d’œuvre qualifiée atteint son maximum dans le monde de la cybersécurité. Ce constat est loin d’être une spécificité française, puisque la société Korn Ferry a identifié, en plus de la France, l’Allemagne, l’Australie, le Japon et les USA comme pays les plus touchés par la disproportion entre les postes et les ressources disponibles tous secteurs confondus.
D’ici 2030, il pourrait manquer jusqu’à 1.5 millions de salariés très qualifiés rien qu’en France avec un manque à gagner de près de 175 milliards € soit plus de 6% du PIB. Si ce problème s’inscrit dans un contexte plus global, il va s’amplifier. Pour s’en rendre compte, il suffit d’observer l’émergence de noms de métiers encore inconnus il y a seulement quelques années. Une étude réalisée par Dell en partenariat avec l’Institut pour le Futur a démontré que 85% des métiers de 2030 n’existent pas encore[i]. D’après le cabinet Gartner, la pénurie de ressources à l’horizon 2020 sur le marché de la cybersécurité serait d’environ 1,5 millions d’emplois dans le monde.
En France, le baromètre de la BPI (Banque Publique pour l’Investissement) précise dès maintenant que les difficultés de recrutement représentent 0,7% de PIB mais représentent de loin le principal frein à la croissance. A peu près 24 000 personnes travaillent pour la filière Cyber sécurité. Parmi eux, 70% sont en Ile-de-France et en janvier 2020, le FONGECIF chiffrait à 6.000 le nombre de postes dans le domaine de la cyber sécurité non pourvus rien que dans cette région ! En faisant le calcul, Plus de 8 500 postes serait à pourvoir sur le territoire.
Bien que ces chiffres aient été avancés avant le Covid 19, ils montrent une tendance de fond qui va persister en dépit de l’apparition de nombreuses inconnues liées à la pandémie. Les menaces en cybersécurité n’ont fait qu’augmenter avec le télétravail et associé au fait que le logiciel a pris une place prépondérante dans l’entreprise et le sera de plus en plus ; il en résulte un besoin impérieux de faire baisser ces chiffres et de sensibiliser aux métiers de la cybersécurité. Le corollaire de la digitalisation des entreprises et du « tout connecté » est le « tout hackable ». Cette affirmation est d’autant plus vraie quand l’IoT entre en jeu et multiplie les risques d’expositions et ce d’autant plus que le nombre d'appareils connectés dans le monde passerait de 15 à 75 milliards de 2015 à 2025.
Pour affronter ces menaces en constante augmentation, les ressources doivent s’accroître. Or, dans cette frénésie du tout logiciel, la cybersécurité traîne la patte dans le secteur car la plupart desdits logiciels ne sont pas protégés. En effet, le temps et la vitesse sont privilégiés par les développeurs à défaut de la sécurité, cette dernière étant vue comme une source d’altération pour mener un projet à bien. Ce défaut de conception peut s’expliquer par un vrai manque d’enthousiasme pour les formations en cybersécurité.
Ainsi en France, parmi les 37 000 ingénieurs diplômés chaque année toutes spécialités confondues ,la cybersécurité ne représente que quelques pourcents du total. Si un nombre croissant d’écoles d’ingénieurs mettent en place des modules de cybersécurité avec des spécialisations en fin de cursus, cela reste insuffisant ; Il faut former davantage. En plus du faible nombre de candidats, toutes les écoles d’ingénieurs ne proposent pas des formations en cybersécurité. Si la formation initiale pêche par défaut, l’expérience est favorisée. Ainsi, de manière générale, les jeunes diplômés occupent plus souvent des postes commerciaux tandis que les fonctions techniques sont réservées à des profils plus expérimentés que ce soit pour des postes avant ou après-vente. Il est nécessaire d’abandonner cette pratique et de sortir de cette situation en misant sur de jeunes recrues. La cinquième année de formation des étudiants est alors l’occasion rêvée pour aller vers ce changement de comportement. Ces stages de six mois en entreprises sont une opportunité de tirer de grands bénéfices mutuels pour les deux parties en présence.
Rendre le secteur plus attractif passe également par des réponses plus adéquates aux besoins des nouveaux entrants sur le marché du travail ce qui est loin d’être le cas encore aujourd’hui. Bien que le gouvernement ait mis en place des plans pour préparer l’arrivée des 700 000 jeunes sur le marché du travail, seulement 2% des BAC+5 sont concernés par ces dispositifs. Face à ce manque d’attractivité et d’opportunités, les départs de jeunes français à l’étranger vont bon train. De nombreuses grandes entreprises du CAC 40 s’adressent à des ingénieurs en provenance d’autres pays comme ceux du Maghreb par exemple.
Puisque les jeunes entrants en entreprises nécessitent un soin et une attention particulière, il ne faut pas uniquement se concentrer sur la formation pour stimuler le secteur et combler ces manques. Si on peut toujours affirmer que sur les postes techniques, une fois recrutés les profils restent en poste, les profils commerciaux, peuvent en revanche changer rapidement d’entreprises surtout en début de carrière. C’est pourquoi il n’est pas rare que dans les grandes sociétés de services, les salaires peuvent augmenter jusqu’à deux fois par an pour maintenir la motivation. Certaines entreprises ont également mis en place un suivi spécifique sur les trois premières années pour les jeunes recrutés. Il faut prévoir une accélération forte du salaire sur ces trois premières années pour les conserver car après une formation initiale de 18 mois approximativement et dès qu’ils se sentent plus autonomes, ils n’hésitent pas à partir. Depuis les années 2000, la norme a changé et il est fréquent qu’un employé reste en poste 3 ou 4 ans dans une même entreprise avant d’en changer tandis que celui en poste depuis 10 ou 15 ans pose questions. L’équilibre travail-vie personnelle est l’une des préoccupations majeures contrairement à l’adhésion à l’entreprise. L’employeur doit s’adapter à ces nouveaux usages en proposant plus de flexibilité dans le travail, la possibilité de travailler de n’importe où et selon des horaires moins définis. Pour garder ces jeunes recrues, souplesse et stimulation (en les faisant travailler sur des projets) sont les clefs.
L’école devrait d’ailleurs aborder ce sujet car le passeport numérique ne suffit pas et il faudrait aller jusqu’à concevoir un passeport cybersécurité. Apprendre aux enfants à coder à l’école n’est qu’une première étape car ils sont aussi concernés par le « tout connecté ».et la sensibilisation doit donc démarrer dès le plus jeune âge. Enfin, cela doit passer par la mise en place de plus de filières courtes (BTS ou DUT) car la solution ne viendra pas uniquement des écoles d’ingénieurs. Du fait que la filière cybersécurité est en concurrence avec toutes les autres, il est nécessaire qu’elle fasse sa propre promotion pour attirer plus de talents.
Par Eric Devaulx Directeur Général France de Sophos