Alliancy

[Chronique] Vous voulez travailler dans la cybersécurité ? Ce qu’il faut savoir sur le métier des héros des temps numériques

Notre chroniqueur Michel Juvin fait le tour des interrogations qui animent souvent ceux qui veulent démarrer une carrière, ou se reconvertir, dans la cybersécurité. Au-delà de l’image qu’en présentent les films et les médias, quelle est la réalité ?

Nombreux sont les jeunes attirés par la cybersécurité car ils ont entendu quelques « faits d’armes » dans les médias sans pour autant en connaître le périmètre ni les enjeux. Pourtant, plus ils se feront une idée précise de ces métiers d’avenir, plus ils pourront s’y épanouir et être utiles aux organisations. Cette chronique présente donc le plus objectivement possibles les avantages et les engagements d’une carrière professionnelle dans la cybersécurité ainsi que des idées d’évolution.

Au-delà des compétences que l’on acquiert dans ce métier, on navigue dans un monde passionnant et visible par la Direction Générale, dans une communauté solidaire et bienveillante qui nous aide à travailler ensemble en s’appuyant sur l’Humain. Les responsabilités sont importantes et le salaire est en forte progression dans une environnement motivant et en constante évolution.

Tous ces enjeux montrent que travailler dans la cybersécurité est vraiment un métier très complet techniquement et humainement et dont les rares personnes vraiment « expérimentées » ont de belles histoires à partager.

1.     Les faits d’armes

Les exemples réussis de cyber-attaque sur des entreprises comme sur des administrations ne laissent pas indifférent. Ils montrent comment n’importe qui ayant un peu cherché sur le Net des solutions techniques de test d’intrusion, voire un kit de hacking, peut s’enrichir rapidement ou faire parler de lui sur les réseaux sociaux (ou plutôt son pseudo s’il ou elle est malin(e) !). Inspiré par des images de Rooney Mara dans le rôle de Lisbeth Salander de Millenium ou de Mr.Robot, tous deux « justicière / justicier » du DarkNet, on a l’impression que c’est facile de pénétrer les systèmes d’information. C’est aussi la possibilité une double personnalité – peut-être plus sombre – comme une échappatoire des temps modernes de cette société du travail qui n’inspire plus.

Dès lors que le rôle de hacker est créé avec sa « boîte à outils », on a l’impression que l’on peut voir les dessous du système et aller virtuellement là où c’est interdit pour dénoncer des comportements avides financièrement qui corrompent notre vie. La tentation de basculer du White Hat vers le Grey ou Black Hat est forte même si certains reviennent dans un comportement plus éthique après avoir compris les conséquences de leurs actes. Les exemples de hackers ou organisations cybercriminelles ayant paralysé des services publiques (hôpitaux / cliniques par exemple) sont communs et nous font prendre conscience que le bon rôle dans la cybersécurité est la défense contre des attaquants aux objectifs dangereux pour notre société, et bien loin de l’image qui en est parfois véhiculé.

2.     L’attractivité du rôle de défenseur contre les cyber-attaques

La diversité des compétences

Il y a de nombreux parcours professionnels qui conduisent à apporter de la valeur aux entreprises dans le domaine de la cybersécurité. On constate globalement qu’il est nécessaire de connaître l’univers technologique d’aujourd’hui et l’envie de trouver des réponses sous forme de service à ses proches. En effet, dans le rôle de responsable cyber il faut par exemple comprendre les différentes options d’un paramétrage de droits d’accès que ce soit pour un profil « administrateur » ainsi que ceux des utilisateurs ; ça c’est pour la partie technique. Mais il faut aussi faire preuve d’empathie et d’écoute pour comprendre le contexte ; ces soft-skills sont essentiels et tout le monde peut se retrouver dans cette partie des profils, hommes comme femmes. Par exemple, restreindre les droits utilisateurs à juste ce qui est nécessaire est une nécessité mais qui, lorsqu’elle est bien paramétrée, protègera l’utilisateur in fine. La cybersécurité est acceptée par les collaborateurs quand ils se sentent compris.

Dans ce siècle où la technologie contribue à notre environnement professionnel et personnel, il faut donc apprécier tout ce qu’elle peut apporter autant que savoir s’en servir pour en tirer le plus de valeur.

Le domaine technologique est tellement vaste qu’une simple découverte lors une formation spécifique peut permettre de s’investir ensuite progressivement dans la cybersécurité. Ainsi, de nombreuses formations sont disponibles de niveau Bac +3 ou +6. Le média l’Etudiant avait listé en mai 2022 quelques universités et écoles qui forment des jeunes dans ce domaine. Les plus prestigieuses, l’EPITA, l’ESSIE, l’ESIEA, l‘ENSIBS, HEC.ca (certaines sont en province et au Canada), mais aussi des formations simples et plus rapides comme des parcours de formation de l’ANSSI (MOOC), l’IHEDN, l’IHEMI (INHESJ), l’ISACA (CISM) ou encore les formations ISO 27001 et d’autres écoles plus techniques comme OTERIA cyberschool ou l’Ecole 2600 remarquées lors des challenges de type CTF[1].

Ces formations permettent aussi des reconversions dans le monde de la cybersécurité après une première expérience professionnelle. Ainsi avec un parcours de juriste, de contrôleur de gestion ou de comptable ou informaticien, des personnes hommes et femmes trouvent dans la cybersécurité l’opportunité de découvrir toujours de nouvelles techniques et idées pour protéger le capital informationnel des entreprises.

Un monde passionnant mais stressant

Il n’y a pas de jour sans une nouvelle idée issue de l’intelligence humaine (voir artificielle) qui peut impacter le monde de la cybersécurité. Par exemple, une société concurrente peut bloquer le site internet commercial de sa cible en lançant un très grand nombre de commandes sans les payer. Cette technique fait sortir du stock des produits et bloque de potentielles ventes pour l’entreprise ciblée.

Cette dynamique nous pousse à réfléchir continuellement car le rôle de l’expert cybersécurité est d’anticiper et de mesurer les risques et les opportunités de développement commercial. C’est extrêmement motivant et aiguise notre cerveau pour être performant dans toutes les situations. C’est aussi une énorme chance de pouvoir travailler en associant passion professionnelle et la réalité du monde du travail et des enjeux économiques majeurs de notre époque.

Il est vrai que cette passion peut aussi entraîner un stress en focalisant ses pensées sur le travail avec un sentiment de solitude si l’entreprise vous laisse seul face aux défis de la cybersécurité. Ce stress peut être bénéfique, tout comme difficile à gérer au jour le jour… Il peut parfois prendre le dessus dans l’environnement personnel : 48% des experts et directeurs cybersécurité estiment que le stress à un impact sur leur santé mentale.

Il n’y a pas de règles précises, mais cette fonction n’est pas destinée aux personnes sensibles au stress et ou bien qui craignent les responsabilités.

Une communauté solidaire et bienveillante

Par comparaison avec d’autres communautés professionnelles, il y a une grande solidarité entre les pairs de la cybersécurité. Le partage d’expérience et d’expertise, sous forme de documents, de mentorship et conseil entre les membres de la communauté reflète une bienveillance et l’envie d’aider les autres. C’est la seule communauté où il n’y a pas de rivalité mais beaucoup de respect par rapport à la position des collègues. Les femmes et les hommes de la cybersécurité sont au même niveau d’enjeux et de responsabilités. Certains se sentent seuls dans leur entreprise et c’est dans les réunions sponsorisées par des fournisseurs, qu’ils vont trouver, humblement, la possibilité de partager leurs recherches de solution avec des collègues.

Cette communauté composée d’associations et de clubs[2], nous apporte beaucoup de soutien y compris pour notre santé mentale, pour aplanir les problèmes et surtout trouver une solution qui a déjà été expérimentée par l’un de nos pairs.

C’est grâce à tous les fournisseurs[3] de la cybersécurité que nous partageons des retours d’expérience notables qui nous éveillent et présentent des solutions pour diminuer les risques au sein de nos entreprises respectives. Les responsables de ces sponsors, qu’ils soient organismes événementiels, médias[4] ou sociétés de cybersécurité, deviennent progressivement des amis professionnels auprès desquels on trouve de l’écoute, des mises en relation et des solutions techniques précises.

Un domaine humain et social

Au-delà de la technologie, c’est un métier ou la relation humaine est prépondérante pour réussir à faire passer ses idées et compréhension des risques. Savoir écouter, avoir de l’empathie pour ses collègues de travail et entrer en osmose avec leurs contextes respectifs, permet de développer une intelligence émotionnelle bénéfique pour faire adopter les bons réflexes de sécurité. Les femmes de la cyber sont peu nombreuses aujourd’hui dans la communauté. Organisée dans des cercles comme le CEFCYS, elles sont naturellement avantagées et mieux écoutées. Il y a donc une très forte attractivité dans cette profession pour les femmes, avec un besoin fort de diversité qui va perdurer pour plusieurs années.

Dans ce rôle d’experts au sein des entreprises, on rencontre aussi des opposants, des récalcitrants et des personnes refusant le changement induit par les projets de cybersécurité. Ces personnes vont sous-estimer vos arguments pour mettre en défaut vos propositions. C’est un des challenges de la profession de savoir convaincre sans ressource financière mais simplement par le bon sens commun de tous. Lorsque l’on réussit dans des conditions plus difficiles que dans un jeu vidéo, on a l’impression d’être un héros de la vie réelle. C’est le côté noble de cette profession. Il faut convaincre le management en valorisant les risques et opportunités ainsi que ses relations de travail sans autorité hiérarchique mais avec des arguments puissants et rassurants.

Des responsabilités importantes et un salaire élevé en progression

Tous les métiers de l’entreprise sont absolument nécessaires et s’appuient sur des applications et services informatiques. L’expert cyber peut se retrouver en première ligne en cas d’attaque et donc rapidement être confronté, même s’il n’a pas les galons, à défendre des idées et actions qui engageront l’avenir de l’entreprise. Cette position initialement d’expert devient une position d’acteur engagé dans la vie de l’entreprise et il n’est pas rare d’être sollicité par les comités de direction pour répondre à des questions sur la gestion du risque cyber.

Beaucoup de rapports montrent que le salaire est en forte évolution depuis ces dernières années dans les différents métiers de la cybersécurité. Si une moyenne de 100K€ était constatée, on voit plus régulièrement en France des salaires de plus de 150 ou 200K€ pour une fonction de Directeur ou expert cybersécurité dans des grosses et moyennes entreprises[5]. C’est encore bien moins qu’à l’étranger, où les salaires sont de 2 à 3 fois ces montants comme le rappellent plusieurs articles dans les médias[6].

Les autres fonctions majeures de la cybersécurité comme Analyste SOC[7], Manager GRC[8], Risk Manager, … ont aussi des salaires annuels aujourd’hui proches des 150K€ car ces fonctions nécessitent au moins 5 à 10 années d’expérience professionnelle. Ces rémunérations sont à la hauteur des enjeux et motivent les jeunes qui y voient une belle évolution de leur carrière alors que le recrutement de ces experts est sous tension. Il y a donc beaucoup d’opportunités professionnelles pour les années à venir.

Un avenir motivant et évolutif

Porté par un environnement technologique en constante évolution, il faut se montrer agile et savoir utiliser toutes ces nouveautés comme des opportunités d’amélioration des conditions de travail de ses collègues. Au-delà de l’intelligence artificielle qui a bouleversé les usages de l’information, il y a beaucoup de recherches très intéressantes qui vont faire encore évoluer nos métiers de la cybersécurité. Par exemple, dans le rôle de défenseur du capital informationnel, l’analyse des méthodes d’attaque des organisations cybercriminelles (comme présenté par le MITre ATT&CK) pour proposer des actions réduisant les risques.

Une partie du temps de l’expert cybersécurité sera dédié à la veille technologique ; aux formation aux nouveaux risques et aux nouvelles technologies. Un travail de recherche est aussi à faire sur certains thèmes en fonction des risques identifiés pour l’entreprise ; cela peut être sur les organisations cybercriminelles ou encore sur les risques géostratégiques.

Un rôle intense porté par une actualité toujours surprenante font du métier d’expert cybersécurité un challenge de tous les jours et avec des perspectives d’évolution intéressantes. Avec la carence de candidats et candidates, des rémunérations en forte progression, les nouveaux entrants sur ce marché trouveront auprès de leurs pairs des conseils bienveillants pour démarrer rapidement dans la réduction des risques cyber des entreprises. Une belle carrière ou reconversion en perspective !

[1] CTF Capture The Flag : compétition entre hacker pour bypasser des barrières de sécurité d’une organisation fictive

[2] Le CLUSIF, LE CESIN, Le cercle de la Sécurité, Concordance, le CDSE, …

[3] Les Assises de la Cybersécurité, les RIAMS, le FIC, Advens, OCD, Cap Gemini, I-Tracing, Radware, Qualys, Trendmicro, Vulcan, Verizon, ainsi que beaucoup d’autres …

[4] Alliancy, CIOLMI, IT4B, IDC, InCyber, BFM Business,

[5] https://www.blogdumoderateur.com/salaires-metiers-cybersecurite-2022/ et https://seela.io/blog/les-salaires-des-metiers-de-la-cybersecurite-guide-2023/

[6] De 72$/h à 118$/h soit de 200 à 400 K$ pour un analyste en cybersécurité

[7] Analyste SOC : Security Operation Center

[8] Manager GRC : global Risque et compliance

Quitter la version mobile