Ajouter aux favoris(Le Monde, 17/04/2023) Pénurie d’intervenants et manque d’intérêt des étudiants… La cybersécurité souffre d’un réel manque d’attractivité. Ecoles et universités ouvrent une multitude de formations qu’elles tentent de rendre plus ludiques et accessibles.
Hugo Jasinski est féru de code depuis l’adolescence. Cet étudiant de 22 ans, en deuxième année à l’Ecole des mines de Saint-Etienne, a de qui tenir : ses deux parents sont ingénieurs en informatique. A l’issue de ses études, il veut suivre l’exemple de son père : travailler dans la cybersécurité, un domaine qu’il juge désormais essentiel. « Ces dernières années, le numérique s’est totalement installé dans nos vies, tant personnelle que professionnelle », rappelle-t-il. La protection des données devient un enjeu majeur pour tous. « Certes, la cybersécurité n’entre pas directement dans le calcul du chiffre d’affaires, mais, sans elle, impossible pour les entreprises de poursuivre leurs activités », insiste le jeune homme.
La menace est réelle. Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), 831 intrusions ont ainsi été constatées en France en 2022. Hôpitaux, collectivités, grandes et petites entreprises… Personne n’est épargné. Pas même l’Assemblée nationale, qui, le 27 mars, a été prise pour cible par le groupe de hackeurs prorusses NoName057. Une attaque liée au soutien de la France à l’Ukraine.
Face à ce fléau, le gouvernement a annoncé, en février, un programme d’investissement de 1 milliard d’euros. L’argent doit notamment servir à structurer la filière et à créer 37 000 emplois d’ici à 2025. Sauf que les entreprises peinent à recruter. Selon une étude du cabinet de conseil Wavestone de mars 2022, plus de 15 000 postes seraient non pourvus dans l’Hexagone. Et la France n’est pas le seul pays touché. A l’échelle mondiale, la pénurie s’élèverait à 3,5 millions de personnes. Tous les métiers sont concernés : des ingénieurs aux consultants en passant par les architectes en cybersécurité.
Dépoussiérer les programmes
Les établissements d’enseignement supérieur se mettent donc en ordre de bataille. Dans le cadre de sa nouvelle école d’ingénieurs, l’université de Picardie-Jules-Verne lancera, dès la rentrée de septembre, une filière cybersécurité en trois ans, dont deux en alternance. Les candidats pourront y accéder après un bac + 2 par voie de concours – et non par Parcoursup. La première promotion, qui devrait compter une vingtaine d’étudiants, sera diplômée en 2026.
Avec le projet Train-Cyber-Expert, Télécom SudParis compte aussi y prendre part en diplômant 10 000 nouveaux professionnels à bac + 5 ou équivalent d’ici à 2030. Mais pas seul. Pour concrétiser ses ambitions, cette grande école publique d’ingénieurs, installée sur deux campus, à Evry-Courcouronnes et à Palaiseau (Essonne), travaille main dans la main avec ses homologues de l’Institut Mines-Télécom : Télécom Paris, l’Ecole des mines de Saint-Etienne, IMT Atlantique, IMT Business School et IMT Mines Alès. D’autres acteurs académiques de premier plan sont impliqués dans le projet, comme CentraleSupélec, Eurecom, l’université Paris-Saclay et l’université de Versailles-Saint-Quentin-en-Yvelines, qui dispensent deux masters spécialisés très reconnus : le master « algèbre appliquée et cryptographie » et le master « secrets », plutôt orienté sur l’informatique.
Pour le consortium, la priorité consiste à dépoussiérer les programmes avec l’aide d’ingénieurs pédagogiques, de façon à les rendre plus accessibles et plus ludiques. Deuxième étape : élargir l’offre de formation en développant notamment l’alternance pour faciliter l’intégration dans le monde professionnel. « Actuellement, une quarantaine de cursus de niveau bac + 5 sont labellisés par l’Anssi, rappelle Hervé Debar, directeur de recherche à Télécom SudParis, coordinateur du projet Train-Cyber-Expert. Il faut accélérer le mouvement. » Pour ce faire, chaque établissement va créer des modules en ligne dans lesquels les partenaires pourront venir piocher pour développer de nouveaux parcours. Une façon de mutualiser les compétences, mais aussi de réduire les coûts de développement.
Pénurie de « matheux »
La machine est en marche. Après avoir ouvert un MBA en communication et gestion de crise à la rentrée 2022, l’Esilv planche sur un master de science en cyber-résilience. De son côté, l’IMT Atlantique prévoit d’inaugurer, dès 2024, un parcours en cybersécurité au sein de son master « Information Technology » (IT), avec environ 70 places à la clé. Un mastère spécialisé dans la cybersécurité doit également être ouvert en partenariat avec CentraleSupélec. Objectif : 220 spécialistes diplômés à l’horizon 2030.
Il reste à trouver des intervenants pour les former. Et ce n’est pas une mince affaire. « La pénurie est telle que les experts de haut niveau sont rémunérés des milliers d’euros la journée », regrette Vincent Guyot, directeur scientifique et responsable des formations spécialisées en cybersécurité à l’ESIEA. Un luxe que toutes les écoles ne peuvent pas s’offrir.
Pas assez de profs… et souvent aussi pas assez d’élèves. La faute en partie à la disparition des mathématiques dans le tronc commun de première et de terminale. « Depuis la réforme du bac, le nombre de lycéens qui choisissent des matières scientifiques a sensiblement diminué, ce qui a réduit notre vivier », constate Jacques Fayolle, directeur de l’Ecole des mines de Saint-Etienne. Le constat est confirmé par les chiffres de la direction de l’évaluation, de la prospective et de la performance. En 2019, à l’époque des terminales L, S et ES, près de 200 000 élèves de terminale avaient un profil scientifique. En 2021, ils étaient autour de 152 000, soit une chute de 24 %. Pour élargir son champ de recrutement, l’école réfléchit, par exemple, à proposer des mises à niveau en première année. Pas sûr toutefois que cela suffise à remplir les promotions.
Susciter des vocations
La cybersécurité souffre en effet d’un manque d’attractivité. « On a toujours en tête l’image du geek en sweat à capuche qui fait du code du fond de sa cave, regrette Flavien Marcoux, 24 ans, en master 1 à la CSB.School à Lyon. Oui, ce type de profil existe. Mais la cyber, ce n’est pas que ça. » Du cryptologue au gestionnaire de crise, en passant par l’intégrateur de solutions de sécurité, la filière recouvre une grande variété de métiers, tant sur la partie technique qu’au niveau de la gouvernance. Avec, en prime, des niveaux de salaires 2,6 fois plus élevés en moyenne que dans les autres pays de l’OCDE, estime le cabinet PwC. Des opportunités encore largement méconnues, comme le démontre une enquête menée en 2022 par l’Anssi. Si les deux tiers des étudiants en informatique disent connaître ces métiers, 63 % des élèves issus d’autres filières admettent ne pas en être informés.
C’est donc d’abord par la pédagogie que viendra le salut. Interventions dans les lycées, bootcamps, hackathons… Les écoles multiplient les initiatives pour susciter des vocations. Parmi les plus emblématiques, le 404 CTF, organisé en mai 2022 par Télécom Sud Paris et la direction générale de la sécurité extérieure (DGSE). Trois semaines de compétition, 71 défis, 2 700 participants… Et, à l’arrivée, des centaines de propositions de recrutement.
Mais, aujourd’hui, c’est aussi autour des jeunes filles que se concentrent les efforts. Etudiante en première année à Télécom SudParis, Marie Leclerc souhaite faire carrière dans la cybersécurité. « J’aime les énigmes et les challenges, ça a un côté ludique », témoigne-t-elle. Mais elle fait figure d’exception dans le paysage. Sans doute faute de modèles auxquels s’identifier. Le secteur n’emploie en effet que 11 % de femmes.
Pour y remédier, l’Efrei a notamment mis en place Program’Her en partenariat avec Microsoft. Trois jours consacrés à la découverte du numérique pour 45 lycéennes, avec une journée entière axée sur la cybersécurité. L’Esilv, de son côté, a signé plusieurs partenariats avec des associations engagées dans la féminisation de la cyber, comme Women4Cyber ou Les Cadettes de la cyber. « Toutes les études le montrent : les équipes mixtes sont beaucoup plus innovantes, rappelle Walter Peretti, responsable du campus cyber à l’école. On ne peut plus se permettre de se priver de la moitié des cerveaux de l’humanité. »