Discussion :

[Stéphane le calme]

Les jeunes se désintéressent de l'industrie de la cybersécurité,
un secteur où bien souvent l'offre est supérieure à la demande

La cybersécurité est un secteur en bonne santé et en plein essor. Aux Etats-Unis par exemple, l'agence des statistiques du travail estime que les emplois relatifs aux systèmes de réseau ou à la sécurité de l'information devraient croître de 53% d'ici 2018. Pourtant les jeunes ne s'intéressent pas à cette branche.

Un emploi souvent lucratif qui n'est le choix potentiel de carrière que de 24% de la génération Y selon les résultats du sondage réalisé par Raytheon, une entreprise technologique spécialisée dans la défense. Une enquête de Semper Secure révèle une moyenne de 116 000$ annuel pour les professionnels de la cybersécurité. Mais en ces temps de crise, pourquoi la jeunesse ne se tourne-t-elle pas vers des perspectives de carrière dans ce domaine ?

L'enquête révèle que 82% de la génération Y a indiqué qu'aucun professeur de lycée ou d'un conseiller d'orientation n'a jamais mentionné une carrière dans la cybersécurité. Mais aussi que les jeunes donnent la priorité à un « travail intéressant ». Ceci étant, le métier a pour eux une connotation ennuyeuse et ne retient plus l'attention du grand nombre de facto.

La France elle aussi connaît ce phénomène. Les industriels de la cybersécurité comme Cassidian (filiale sécurité d’EADS), Thales ou encore Sogeti peinent à recruter les spécialistes dont ils ont besoin pour leur développement. D'ailleurs ils ont demandé à l’État de renforcer la formation dans ce domaine. Portés par un marché en fort développement (croissance de 15 à 20% par an selon les prévisions du cabinet Pierre Audoin Consultants), les grands industriels cherchent tous à renforcer leurs effectifs. Cassidian CyberSecurity ambitionne de décupler son chiffre d’affaires en 2017 et de renforcer ses ressources humaines limitées aujourd’hui à 400 personnes. Thales, premier acteur français de cybersécurité avec aujourd’hui 600 personnes dans ce domaine, a recruté 100 spécialistes en 2012 et prévoit le même volume d’embauches en 2013. Sont particulièrement recherchés les profils de Hackers éthiques (spécialistes qui tentent de s’introduire dans le système d’information pour en révéler les points de vulnérabilité), d’architectes de la sécurité des systèmes d’information et de spécialistes de la cryptologie.

« La pénurie porte autant sur la qualité que sur la quantité » , relève Jean-Michel Orozco, PDG de Cassidian CyberSecurity. « Nous sommes confrontés à une menace létale qui nous empêcherait de nous développer comme nous le souhaiterions. ». Toutefois, bien que le président du Clusif, club de la sécurité de l’information français, reconnaît la réalité du problème, il recommande de ne pas céder à la tentation de l'emballement « Il faut rester prudent et ne pas demander au système public de former trop de gens. Le résultat se verra dans 5 ou 6 ans. Or personne ne sait comment sera le marché de l’emploi à ce moment-là. Il faut éviter de reproduire les erreurs commises par le passé dans d’autres secteurs. »

Source : Raytheon, Semper secure (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Qu'est-ce qui, selon vous, pourrait expliquer ce désintérêt que montre la jeunesse pour un secteur pourtant prometteur ?

Que préconiseriez-vous pour redorer le blason du métier de professionnel de la cybersécurité auprès de la génération Y ?

[Fabien_D]

Malheureusement ces mêmes entreprises sont ,je pense, trop exigeantes dans leurs offres d'emploi.
Je sors d'une licence en sécurité de l'information (BAC +3), cependant les offres dans ce domaine tournent bien souvent autour d'un profile BAC +5 avec 5 ans d'expérience.
Je ne veux pas généraliser, mais ce genre d'offres sont courantes, et former de jeunes diplômés est je pense un bon investissement pour une entreprise.
C'est le ressenti que j'ai eu pendant ma recherche d'emploi, mais je me trompe peut-être.

[Grom61736]

J'appuie les propos de Fabien.

J'ai postulé dans une boite de sécurité informatique tout fier de mon Bac +5 en mathématiques théoriques avec plein d'algèbre, de théorie des anneaux, des corps, des corps fini, de la crypto en mettant en avant mes cours de crypto et de sécurité avec des super points.

Réponse : "Oui mais vous avez jamais pratiqué tel langage... Et puis, on préfère quelqu'un avec de l'expérience dans le domaine".

Ok, on peut plié bagage, la messe est dite.
Si effectivement, il y a menace léthale due au manque de candidats "engageables", beaucoup de boites seront-elles mêmes responsable de leur propre mort du à l'entêtement à vouloir à tout prix démarcher les employés du voisins déjà formés plutôt que de former des nouveaux employés...

[benjani13]

L'enquête révèle que 82% de la génération Y a indiqué qu'aucun professeur de lycée ou d'un conseiller d'orientation jamais mentionné une carrière dans la cybersécurité.

Quand je vois que même en IUT informatique on ne nous a jamais mentionner cete voie... Le seul cours sur la sécurité informatique qu'on ait eu était un module très conceptuel de 4 heure qui portait sur l'analyse des risques.

Je trouve celà totalement aberrant, car des notions de sécurité sont nécéssaires pour toutes les débouchés. Que les étudiants deviennent développeur, webmaster, ou quoique soit ils doivent avoir en tête ces soucis de sécurité.

Après, pour le travail dans la cybersécurité, à moins de suivre un cursus dans ce domaine, je ne pense pas que beaucoup d'étudiants en informatique puisse prétendre à des postes relatif à la sécurité informatique, à moins d'avoir acquis de l'experience en développement et en sécurité sur son temps libre.
Je pense que les métiers de la sécurité informatiques demandent de l'experience en développement et dans les systèmes d'informations afin d'avoir le recul nécéssaire à l'analyse d'un système d'information.

Aujourd'hui, je verrais donc les métiers de la cybersécurité plus comme une évolution de carrière (ou tout du moins il faudrait que cette évolution soit possible et devienne courante).

En tout cas, c'est un domaine qui m'interresse beaucoup et dont je n'exclue pas la possibilité de m'y tourner dans un futur lointain

[IsiTech]

C'est marrant j'ai justement suivi une conférence sur les métiers de la cybersécurité hier. Le résultat d'un court sondage à main levée à la fin de la présentation était prévisible : à peine une personne souhaitait faire carrière dans la cybersécurité sur une centaine d'étudiants. Concernant la présence de la cybersécurité dans l'enseignement, dans mon cursus il n'y a qu'une option en M1 et rien de plus. Autant dire qu'un bon nombre d'étudiants n'en entendront jamais parler.

Personnellement ces métiers ne m'intéressent pas. J'ai du mal à pointer exactement pourquoi mais je ne les trouve pas "fun", et je n'ai pas de passion pour la sécurité non plus.

[Aillyn]

En fait ils cherchent des ingénieurs de 25 à 30 ans (pour rester longtemps dans l'entreprise), avec 10 ans d'expérience sur tous les languages informatiques (y compris sur les languages informatiques inventés il y a moins de 5 ans).
Il faut également un Doctorat en cryptographie et en mathématique, avoir hacké les bases de données de la NSA, de la CIA, du KGB, et de toutes les agences de renseignements du monde.

Ah oui et également que le candidat accepte d'être payé le SMIC (parce que c'est la crise)

[koyosama]

Personnellement tous les étudiants rêvent de faire de la sécurité. Mais déjà les débouchés sont justes incroyablement inexistant.

J'ai l'impression que c'est une voie royale. Sans compter que 3/4 des formations en informatique t'emmène vers du développement web.

En plus, t'a juste à regarder le cas de PRISM pur comprendre que la cyber-sécurité en France, c'est quasi-inexistant.

[Squisqui]

La DGA recrute beaucoup également dans le domaine. Bon, certains profils demandés sont costauds, mais ça reste à voir pour un bac+5 senior.

[Hespace]

Le soucis que les jeunes ne veulent pas faire ça, c'est vraiment mineur. En école d'ingé, on se fixe dans le domaine qu'on veut dans les dernières années. Donc on a pas d’intérêt profond à vouloir à tout prix tel ou tel domaine tôt dans nos études.

Ensuite, la volonté d'avoir un mouton à cinq pattes est vrai. J'aurais adoré à la sortie d'école bosser dans ce domaine. J'ai du abandonné quant au bout de six mois, je me rends compte qu'aucun poste junior n'était à ma portée et mais que les gens rêvent de me prendre comme stagiaire de fin d'étude par contre. Quand je dis pas à ma portée, c'est soit 90% du temps que ce sont des offres de juniors avec déjà de l'expérience dans le domaine (deux trois ans minimum), soit les 10% des juniors avec un trouzaine de certifs et de technos.
Je pense pas non plus de débarquer de nul part, à ma décharge j'ai peut-être pas fait du pentest. Mais j'ai eu une formation assez généraliste en informatique et des stages dans le domaine. Mais non, c'est jamais assez ! Pas assez spécialisé, pas assez d'expérience, pas assez généraliste (oui on m'a déjà rétorqué le fait de ne pas avoir fait du pentest (pour une offre qui n'en mentionnait pas) et de l'analyse de trames réseaux).
Mais là j'ai peur de dévier sur un ancien article qui parlait que l’intérêt du test technique. Moi je pense que le gros soucis est surtout le processus de recrutement...

Après le web, on peut acquérir vite les bases et nombre de projet peuvent permettre de s'en contenter, la demande est écrasante et très (trop) visible. Donc c'est normal que les gens n'aient pas la cybersécurité en premier à l'esprit.

[Invité]

Y a moyen de bosser dans la sécurité comme débutant en tant que auditeur-pentester. En gros tu passes 2 ou 3 jours à auditer le système d'information d'une société.

Personnellement j'ai été assez déçu de ce que j'ai vu. L'audit coûte une blinde (dans les 15 k je crois) et c'est pas vraiment justifier. C'est très répétitif comme boulot, faut aimer rédiger un rapport des failles.

Le mec ne vous explique pas forcément comment il a fait et il ne rentre pas dans le système d'information. Des fois on vous sort des failles répertoriées sur n'importe quels sites de sécurité mais sans les exploiter, un peu facile à mon goût. Ou on vous explique que telle librairie ou que telle version linux apache ou php connait telle faille. Il vous demande de les mettre à jour ce qui n'est évidemment pas possible. Il récupère les hash de mots de passe et vous dit qu'ils ne sont pas assez costaud, et vous conseille de forcer les utilisateurs à mettre des Maj, chiffres ou caractères spéciaux.

Bref y a toujours des infos et des modifications bonnes à prendre, mais pour moi vaut mieux prendre un bon dev & admin sys et le laisser s'en occuper en tenant compte des contraintes de version.

Comprenez moi bien, je pense que les experts en sécurité sont utiles et nécessaires, et il y en a surement des très bon mais la majorité ça reste de l'industrialisation et de l'automatisation d'audit, qui reste efficace dans beaucoup de cas. Mais c'est souvent du bon sens et des choses que beaucoup de monde pourrait faire si on leur laissait le temps. Et si vous essayez de vraiment gratter vous avez le fameux : c'est hors scope.

Moi ce que j'attends un expert en sécurité c'est pas qu'il me dise qu'il y a telle faille sur telle version mais qu'il me fasse le patch de sécurité s'il n'existe pas pour m'éviter de changer de version et sans perturber le fonctionnement, et ça qui est capable de le faire ?
C'est quasi automatisé, donc vous avez tous les outils à la mode et connu qui passe, nmap, burp suite, sqlmap, metasploit, etc...
On sent que vous pouvez lui dire n'importe quoi, il a déjà le plan complet de tout ce qu'il doit faire. C'est aussi facile de sortir les faille en white box (= avec l'archi complète, l'accès à tout et le support des devs/admins).

A part si vous n'y connaissez rien vous serez plutôt déçu. Y en a surement des très bons qui doivent vous apporter beaucoup mais à mon avis ça doit coûter bonbon.

[gangsoleil]

Les industriels de la cybersécurité comme Cassidian (filiale sécurité d’EADS), Thales ou encore Sogeti peinent à recruter les spécialistes dont ils ont besoin pour leur développement.

Sogeti, c'est une SSII standard, connue pour mal payer... Ce n'est en aucun cas un industriel de la cybersecurite -- ou bien on ne parle pas de la meme entreprise.
Cassidian a du mal a recruter ?? Il y a 6 postes ouverts sur toute l'Europe en informatique, dont seulement 2 en securite... Bac+5, 5 ans d'experience.
Je n'ai pas regarde Thales, mais si quelqu'un a envie...

Il se trouve que, comme l'ont dit les autres, rentrer dans ce domaine est extremement complique, beaucoup plus encore que dans les autres : ce n'est pas 2 ans d'XP qui est demande, mais systematiquement au moins 5 !

Oui, c'est super interessant, mais personne ne forme dans ce domaine ("Ah bah non, c'est secret"), et on ne trouve pas de poste...

Je ne pense meme pas aux gens qui ont une certaine ethique, et qui ne revent pas de developper des logiciels qui seront (forcement) vendus a des pays plus ou moins sympathiques (CF Amesys).

Sont particulièrement recherchés les profils de Hackers éthiques (spécialistes qui tentent de s’introduire dans le système d’information pour en révéler les points de vulnérabilité), d’architectes de la sécurité des systèmes d’information et de spécialistes de la cryptologie.

C'est ca... et la marmotte...

Ah oui, ca c'est sur, ils sont recherches, mais par qui ? Combien d'affaires voit-on d'entreprises qui, apres etre prevenues d'une faille, portent plainte contre le hacker ethique qui les a gentiement prevenu sans ebruiter l'affaire ?
Vous croyez que ca donne envie de travailler pour eux ?



Cassidian veut des gens pour pouvoir decupler leur CA d'ici 5 a 10 ans ? Ils se tournent vers les formations qui forment des gens au bas-niveau, ET ILS LES FORMENT !

[Hespace]

Ah oui, c'est vrai que j'ai peut être un peu trop orienté mon message autour de mon expérience, et du point de vue d'un ingénieur.

Après oui, pour l'expert sécurité y'a un travail de tri à faire. On m'a demandé lors de mon stage de fin d'étude de mettre en place un système de détection d'intrusion. Certains ne se contente que de ça (c'est à dire mettre en place un outil automatisé), après le véritable plus-value et de mettre en avant les véritables soucis (typiquement des connexions agressives ou venant de nul part) des événements de tous les jours (Monsieur Pignon accède au service de la boîte). Le soucis est que pour ces deux tâches la dénomination est identique, et même si on venait à les distinguer les premiers tenteront toujours d'être vendu comme les autres.

Après pour revenir sur l'article, au lycée, pour les ingénieurs, les gens ne savent même pas dans quel domaine ils vont aller (j'ai bien failli faire de l'enseignement en mathématiques ou un école d'ingé en mécanique). Donc savoir quel secteur d'un domaine c'est peut être beaucoup trop tôt.

[Model_T101]

le fameux mouton à 5 pattes c'est le sempiternel refrain quel que soit le domaine. Maintenant s'il y'a de vrai manques prendre un jeune et le former à ses propres méthodes avec un plan de carrière évolutif et pérenne serait l'évidence, le bon sens bref, politique de gestion illogique, laisser les talents se faner ou partir vers d'autres cieux.
Est il envisageable qu'un certain nombre de personnes, se réunissent, discutent se mettent d'accord et fondent une société qui fournit ces services, voire d'innovants ?

[0hmyGod]

Bonjour,
je me permet de rebondir sur ce que j'ai lu :


Sogeti, c'est une SSII standard, connue pour mal payer... Ce n'est en aucun cas un industriel de la cybersecurite -- ou bien on ne parle pas de la meme entreprise.


je plussoie avec véhémence sur ce point, d'autant que l'argument majeur de l'esec (sécu sogeti) est qu'un bon pentester a maxi 30 ans et ne dépasse pas les 40K (pour qu'il soit rentable pour la boite)ce qui selon moi est surréaliste ...(d'avoir un salaire pareil "à l'apogée" si bas j'entends)

Pour en avoir rencontrés quelques uns que je considère (ça engage que moi) d'un bon niveau,soit ils montent leur boite (Paolo pinto> sysdream) soit ils vont exercer dans la filière gouvernementale (mathieu suiche)

La sécu sera éternellement le parent pauvre hélas et seul un "gourou" sera reconnu (et encore) mais ce n'est surement pas en société de services qu'il va rentabiliser ses compétences..

Quand à la confidentialité des procédés d'intrusion, il y a comme partout ceux qui font de la rétention (pour rester indispensables ) et ceux qui ouvrent les portes de l'information ,soit en faisant de la formation , (soit en en la livrant via divers moyens (presse /web/autres)tout simplement

[MacDev]

Ah oui, ca c'est sur, ils sont recherches, mais par qui ? Combien d'affaires voit-on d'entreprises qui, apres etre prevenues d'une faille, portent plainte contre le hacker ethique qui les a gentiement prevenu sans ebruiter l'affaire ?
Vous croyez que ca donne envie de travailler pour eux ?

Il me semble que vous avez raison!
Ce domaine comporte beaucoup de risque.

[MacDev]

Le mec ne vous explique pas forcément comment il a fait et il ne rentre pas dans le système d'information. Des fois on vous sort des failles répertoriées sur n'importe quels sites de sécurité mais sans les exploiter, un peu facile à mon goût. Ou on vous explique que telle librairie ou que telle version linux apache ou php connait telle faille. Il vous demande de les mettre à jour ce qui n'est évidemment pas possible. Il récupère les hash de mots de passe et vous dit qu'ils ne sont pas assez costaud, et vous conseille de forcer les utilisateurs à mettre des Maj, chiffres ou caractères spéciaux.

Reconnaissons tout de même que c'est pas mal de le signaler.

[garheb]

Sont particulièrement recherchés les profils de Hackers éthiques (spécialistes qui tentent de s’introduire dans le système d’information pour en révéler les points de vulnérabilité), d’architectes de la sécurité des systèmes d’information et de spécialistes de la cryptologie.

"On cherche des juniors qui ont un profil senior à leur sortie de l'école, merci."

[lani2k]

Ces entreprises n'ont qu'à donner leurs chances aux jeunes diplômés, je pense surtout que si elles peinent à trouver preneur c'est que d'une part elles refusent les profils junior et que les personnes ayant réussi à monter en expertise connaissent leur valeur et ne se bradent pas.
J'aime bien dire qu'il faut avoir les moyens de ses ambitions.

Je suis moi-même fraîchement diplômé d'une école d'ingénieur avec 3 ans d'apprentissage dans le domaine,mais je vais devoir me rabattre sur du réseau pur car bien qu'ayant travaillé sur plusieurs aspects de la sécurité comme du pentest je n'ai pas fait d'analyse de log, ne connaît pas assez la technologie ips,... (dixit mes derniers entretiens).

[olivier2013]

J'appuie les propos de Fabien.

J'ai postulé dans une boite de sécurité informatique tout fier de mon Bac +5 en mathématiques théoriques avec plein d'algèbre, de théorie des anneaux, des corps, des corps fini, de la crypto en mettant en avant mes cours de crypto et de sécurité avec des super points.

Bonjour, oui c'est exactement cela donc en résumé on cherche qqn qui n'a pas fait d'études mais un quidam qui connait le produit avec un peu de bagou.

Dans une laverie je discutais avec qqn qui connait un docteur en maths qui développe des algorithmes pour optimiser le requêtage en marketing.

Au début on se moquait de lui et après les gens se sont inclinés en reconnaissant que l'essentiel n'est'il pas au fond de gagner sa croûte et de pouvoir s'offrir des loisirs.

Bon je vais m'acheter des gâteaux à la boulangerie.

Bonne journée.

[olivier2013]

(...)mais je vais devoir me rabattre sur du réseau pur car bien qu'ayant travaillé sur plusieurs aspects de la sécurité comme du pentest je n'ai pas fait d'analyse de log, ne connaît pas assez la technologie ips,... (dixit mes derniers entretiens).

Aller la blagounette du jour: ils ne trouvent pas leur ressource en info de gestion (non sans blague):

http://cadres.apec.fr/offres-emploi-...&xtnp=1&xtcr=6
"Nous recherchons des candidats de formation Ingénieur Bac +5 Scientifique (Ingénieurs Généralistes, Electronique, Ingénieurs Matériaux, Physique, Chimie, Mathématiques,...) ou Ingénieur Informatique Bac +5."

Ce qu'on veut c'est:
-des gens pas chers
-des gens qui connaissent un produit (au moins)

mais pas des petits gars qui ont fait des études, ça on s'en fiche.

Et puis aussi, trop gros manque de visibilité avec des annonces bidons datant de plus de 1 an uniquement pour collecter des noms d'entreprises via du râtissage de Cvs.

Alors il y a des besoins, ok, on est prêts mais où, quand ?

A+