Cybersécurité

La Nouvelle-Aquitaine, acteur majeur de la cybersécurité cherche à attirer les talents .


David Commarmond


Le 10 mai à la Maison de la Nouvelle-Aquitaine se tenait le premier événement d’une longue série. « Le thème, la cybersécurité et le recrutement ».



Dans un secteur en forte tension ou la guerre des talents fait rage, « les questions de cybersécurité faisant la une de la presse nationale et de la presse régionale depuis la pandémie, on ne compte plus les communes, les hôpitaux, entreprises ayant fait l’objet de rançons.

Certaines ce sont relevées, mais beaucoup se sont effondrées dans les six mois qui ont suivi ».

Cette « pandémie » numérique, est aussi contagieuse que le covid, elle n’épargne personne. Mais ce n’est pas le seul préjugé que les acteurs de la cyber cherchent à combattre.

Le déni touche de nombreux décisionnaires, qu’il soit grand ou petit, du secteur public ou privé et la difficulté à trouver le bon interlocuteur institutionnel en situation de crise ajoute de la complexité à l’anxiété.

Job dating, une force de frappe locale et nationale pour faire tomber les barrières et recruter les talents.

Autour de l’Apec, l’Anssi, le nouveau Campus Cyber de la Nouvelle-Aquitaine, la Délégation numérique de la Région Nouvelle-Aquitaine, les Services de l'Attractivité Région Nouvelle-Aquitaine, les conseils d’UnderGuard, ce sont plus d’une centaine de postes qui sont proposés lors de cet événement par des entreprises comme DBM Partners, Exodata, ADvens, Euler, Technology Solutions, Dassault Aviation, Adacis, Serma, Safety & Security, Orange Cyberdefense, Escape et autant de candidats potentiels qui ont été rencontré en présentiel et distanciel tout au long de la journée.

Une région pleine d’atouts, qui veut le faire savoir
 

La Nouvelle-Aquitaine se veut être un acteur leader d’un secteur stratégique. Elle ne manque pas d’atouts économiques et stratégiques en accueillant sur son territoire les acteurs majeurs du secteur comme Tehtris qui affiche des projets de recrutement très ambitieux afin d’avoir sur son territoire un écosystème riche, viable et durable.
 
Difficile cependant de ne pas évoquer TOUS les atouts de la Nouvelle Aquitaine. Sa gastronomie, sont art de vivre et son climat. L’expérience du covid est passée par là et pour séduire les futurs actifs, il faut aussi montrer que l’on a saisi l’air du temps et leurs futures attentes, comme la possibilité de télétravailler et d’avoir un équilibre de vie privée et vie active, à deux heures de Paris en TGV et d’un aéroport international qui place le monde à votre portée ?
 
Déconstruire les stéréotypes et les idées reçues
Les deux tables rondes et les différentes interventions ont montré que nous avions beaucoup de défis devant nous. Tant auprès des entreprises, des recruteurs, des salariés, des étudiants et étudiantes. L’emploi en cybersécurité représente plus de 20.000 postes sur le territoire et le recrutement se fait sur le « marché caché ».
 
La première table ronde abordant le thème de la reconversion dans le secteur de la cybersécurité en dit long, elle se proposait d’en déconstruire un premier pan.
 
Non la cybersécurité n’est pas réservée aux geeks, experts trentenaires. Oui, elle s’adresse à tous, elle est beaucoup plus diverses dans ses profils, elle s’adresse aux hommes comme aux femmes, à des profils junior et senior. Et Oui, il est possible d’avoir une deuxième vie professionnelle en cybersécurité.
 
Pourquoi cette image persiste ?
Tout d’abord, il faut tenir compte de la force d’inertie des institutions et des mentalités. C’est le premier frein. Certes au vu des enjeux nationaux et mondiaux, les besoins sont là, mais former une nouvelle génération de techniciens et d’ingénieurs prend du temps et il faut aussi du temps pour changer les mentalités au sein des institutions.
 
Ce constat est partagé par Dominique Voul Directrice d’une école d’Ingénieurs à Rodez et à Limoges tisse aussi des liens avec la Roumanie, qui s’efforce de recruter de jeunes futures ingénieures et qui doit se battre auprès des conseillers et conseillères d’orientation pour qu’ils changent leur vision de la cyber et qu’un autre discours touche les lycéennes et futures bachelières. C’est un défi de répondre à la demande et de proposer des parcours professionnels pour acquérir des bases en trois, six, ou 12 mois un socle de compétences minimales en cybersécurité.
 
L’Anssi souligne ses différentes actions envers les professionnels et le grand public, la création d’un observatoire des métiers de la cybersécurité, observatoire qui produit des panoramas, des enquêtes, des interviews et des synthèses régulières. « C’est une erreur que de croire que la cybersécurité soit l’apanage des trentenaires sur-diplômés. En entreprise, les profils sont beaucoup plus divers. La distinction se fait plus au sens, grands groupes/pme, international/national/province. Les pme demandeuses de profils pointues, mais qui sous-dimensionnent l’envergure du poste, les moyens et le salaire, ont un turn-over très élevé. Tandis que celle qui ont des senior voient leur turn-over décroître et la fidélité de ceux-ci accrue. La nouvelle enquête de l’Anssi démontre le rôle des régions sur le plan des recrutements. « Il faut sortir du cercle des initiés ».
 
Pour Thetris , c’est une évidence, entreprise créée en 2010, elle se veut moteur et leader dans le domaine à l’avant-garde sur les sujets de souveraineté numérique. 240 salariés aujourd’hui, elle vise 300 en fin d’année et mille dans un avenir très proche. Pour elle, la cybersécurité va être un sujet de plus en plus épineux qui ne pourra se faire sans détection automatique des menaces, de l’alliance humain et d’intelligence artificielle afin d’être toujours à l’écoute du terrain et de la demande. C’est une question qui va s’imposer dans notre société et son développement technologique.
 
Participer à cet événement et être associé à la Nouvelle-Aquitaine pour contribuer à son rayonnement était essentiel. Pour Tehtris, il est important de travailler sa marque territoriale, comme sa marque employeur, les candidats sont des ambassadeurs, les futurs salariés aussi. L’entreprise doit être à la pointe de la RSE, cela doit se traduire dans le management et l’établissement des partenariats.

La deuxième table ronde met l’accent sur les « Enjeux Cyber ».

Thibault Renard intervenant spécialiste de l’intelligence économique et sensibilisation à la cybersécurité à l’Ecole de Guerre Economique revient sur son parcours et l’évolution du monde de l’entreprise. Pour ce diplômé à l'IE il y a 20 ans en 2002, l'année clé est 2001 et le 11 septembre. Sur de nombreux points le renseignement avait été aveugle et d’une façon collective à partir de ce moment se développe une prise de conscience mondiale que l'on peut se renseigner sur internet.
 
A partir de 2010, l’évolution de la décennie suivante a été une migration de l’intelligence économique vers la cybersécurité : "Avant on parlait d'IE, puis de sécurité économique, puis de cybersécurité. Maintenant on parle de cybersécurité, puis de sécurité économique, et s'il reste du temps, d'IE". Ces dernières années on voit cependant un retour de balancier et un notamment du débat sécurité de l'information vs sécurité des systèmes d'informations. Deux éléments demeurent fondamentaux, l’humain qui demeure le point faible, et la cybersécurité qui devient de plus en plus technique. L’information qui circule, devient duale, est une arme et plus seulement une donnée à protéger. La guerre informationnelle s'impose même en dehors des périodes électorales. La guerre en Ukraine n’est pas étrangère à ce phénomène. Guerre et informations sont intimement liées. Et la manipulation de l’information, de nos perceptions, accroît la violence du choc quand la réalité brute s’invite dans notre quotidien.
 
Olivier GRALL de l’ANSSI, livre un constat des plus inquiétant, depuis la crise du covid, la multiplication des attaques a été par trois puis par quatre. Cet exercice est d’autant plus difficile que pour 250 attaques répertoriés, on dénombre un seul dépôt de plainte.
 
Comment alors dimensionner les services et les moyens pour répondre aux questions des victimes ?
On assiste à un véritable tsunami, et il est très difficile de mesurer la progression de la vague qui nous frappe. Surtout qu’en parallèle, nous avons du mal à mesurer l’impact du digital sur notre économie, alors que nous sommes dans une dépendance numérique élevée.

Nous pouvons voir cependant quelques lueurs positives comme un début de prise de conscience, mais c’est un long chemin qui nous attends avant que nous puissions donner une réponse adéquate. La seconde évolution serait de ne plus considérer la cybersécurité comme un coût mais un investissement.
 
Bénédicte Pillet de cybercercle partage ce constat de progression. Elle souligne toutefois le décalage entre la connaissance du risque et l’action. Ce n’est pas parce que l’entreprise est touchée qu’une action est mise en œuvre.
 
Pour Thibault, beaucoup trop de PME pensent encore que « Je suis trop petit pour être menacé ». C’est une erreur, c’est du déni, c’est un biais cognitif qui permet d’éluder le risque, la prise de décision et de finalement ne pas se remettre en cause.
 
Bénédicte Billet se questionne sur la teneur anxiogène du message, est-ce encore pertinent, ne pourrait-on pas faire évoluer positivement le message ? Et trouver d’autres leviers ?.
 
Certes l’accélération de la mise en place de services numériques s’impose au niveau de l’Etat, mais la sécurité ne suit pas. Là encore, on voit trop la notion de coût primer sur la notion d’investissement. Le levier le plus puissant qui semble déterminant est la confiance. Le second levier qui pourrait être amélioré serait de faire évoluer la technicité du message vers la transversalité du message. Bien entendu, ce message ne pourrait être entendu que si les autorités soutiennent et portent au plus haut niveau ce message. La question se pose alors de comment favoriser la mise en place de ces leviers ?
 
Cet enjeu est donc essentiel au niveau national, enjeu au niveau régional. L’ambition de développer une filière économique en Nouvelle-Aquitaine repose sur la création de conditions favorables. Cela passe par des recrutements facilités.
 
Il demeure toutefois compliqué de dimensionner les moyens aux risques.
D’un côté les conséquences sont redoutables car nombre d’entreprises déposent le bilan peu après le paiement de la rançon. D’autre part, il ne faut pas confondre sensibilisation et formation. En six mois de formations, on ne devient pas expert, mais on peut acquérir un vernis, un socle de compétences. Dans l’idéal, il faudrait coupler formation et sensibilisation, alterner, faire des piqûres de rappels. Dans l’idéal, il serait nécessaire d’avoir un accompagnement au numérique, par le biais de financement, comme des aides. De mettre en place des indicateurs pour mesurer cet accompagnement, ce qui veut dire de construire des dispositifs d’aides pérennes. Ce qui implique de mettre en place globalement une logique de transition, et d’abandonner à terme les anciens paradigmes.