IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 200
    Points : 36 668
    Points
    36 668
    Par défaut Emploi : quelles raisons à la pénurie globale de talents en cybersécurité ? 5000 postes à pourvoir en Hexagone
    Emploi : quelles raisons à la pénurie globale de talents en cybersécurité ? La France métropolitaine concentre plus de 5000 postes à pourvoir
    Et les USA près de 470 000, d’après de récents rapports

    Le même refrain se répète d’année en année : les experts en cybersécurité sont en nombre insuffisant au regard des besoins des organisations de tous types dans les secteurs public et privé. Certains rapports font même état de ce que la situation va en s’intensifiant. Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ?

    Le déficit de compétences en cybersécurité n’est pas un problème régional ou national, mais mondial. La filière cybersécurité est confrontée à une pénurie mondiale qui tourne autour de 3 millions de personnes qualifiées, selon les données de différents rapports. 5000 postes sont à pourvoir en France métropolitaine, d’après de récentes données de la branche française de la firme PwC. Le département du Commerce des USA pour sa part fait savoir que 465 000 postes en cybersécurité cherchent preneur.

    Une publication sur le site web de Colonial Pipeline pour le poste de responsable de la cybersécurité indique que ce dernier est à pourvoir depuis plus de 30 jours. Les responsabilités du poste comprennent « la gestion d'une équipe d'experts et de spécialistes certifiés en matière de cybersécurité », ainsi que la direction « du développement de la stratégie d'entreprise en matière de cybersécurité ». L'annonce indique également que le candidat sélectionné « supervisera le développement de normes et de processus pour la cybersécurité, dirigera la reprise après des incidents de sécurité et guidera les analyses médico-légales des incidents ». L'entreprise recherche « une personne ayant une bonne compréhension des menaces émergentes en matière de sécurité afin de concevoir des politiques et des procédures de sécurité pour atténuer les menaces dans la mesure du possible. »

    Les exigences du poste comprennent un diplôme en informatique, en sécurité de l'information ou dans un domaine connexe. Colonial pipeline recherche également une personne ayant « idéalement plus de cinq ans d'expérience technique dans le domaine de la sécurité de l'information et, en outre, plus de cinq ans d'expérience pratique dans un rôle de réponse aux incidents ». Mais l'entreprise préfère que le candidat soit titulaire d'une maîtrise et ait au moins huit ans d'expérience. Sa parution fait suite à une attaque par ransomware qui a bloqué les activités de l’entreprise qui gère un oléoduc vital utilisé pour acheminer l'essence, le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est des USA. Colonial Piepline s’appuyait sur une version vulnérable et obsolète de Microsot Exchange que les pirates ont exploitée. L’exemple illustre une pratique courante dans l’industrie : réagir plutôt que faire dans la prévision en prenant en compte les aspects en lien avec la cybersécurité plus tôt dans le processus d’implémentation de l’infrastructure informatique.

    Nom : 1.png
Affichages : 12699
Taille : 126,6 Ko

    Quelles solutions ?

    En France, le gouvernement souhaite se préparer à toute attaque éventuelle et prévoit pour cela un plan de renforcement de la résilience de son cyberspace. L’objectif global via ce dernier est de développer le secteur de la cybersécurité. Il intègre deux objectifs spécifiques à savoir : faire émerger de nouveaux « talents français », et renforcer la résilience du secteur public. Ce plan intervient alors que le pays a été récemment confronté à deux cas d'attaques, notamment celles contre les hôpitaux de Dax et de Villefranche-sur-Saône.

    Nom : 2.png
Affichages : 3074
Taille : 250,8 Ko

    Le point qui attire le plus l'attention est le budget prévu par le gouvernement pour atteindre ces objectifs d'ici cinq ans. En tout, l'État français prévoirait de consacrer 1 milliard d’euros d’investissements à ce secteur au cours des cinq prochaines. Selon les informations actuellement disponibles sur le sujet, la moitié de ce budget proviendrait directement des caisses de l’État. Ceux qui seront chargés de la mission devront œuvrer pour relever le niveau de sécurité dans le public (hôpitaux, collectivités) et dans le privé ; et développer la filière de la cybersécurité pour créer une alternative française aux outils majoritairement américains.

    Le plan prévoit que plus de talents français de la cybersécurité seront joints au projet. De 37 000 emplois, la stratégie du gouvernement devrait permettre d'atteindre 80 000 emplois d'ici 2025, doublant ainsi le nombre actuel travaillant dans le secteur. Par ailleurs, Emmanuel Macron et son équipe espèrent également que ce plan de relance leur permette de doubler, voire tripler le chiffre du secteur français de la cybersécurité pour atteindre 25 milliards d'euros sur la période annoncée. Dans les grandes lignes, le gouvernement découpe sa stratégie comme suit :

    • plus de la moitié des fonds, soit plus de 500 millions d’euros, iront directement à la recherche. Comme expliqué plus haut, à travers ces fonds, le gouvernement veut développer et utiliser davantage d'outils français en lieu et place des outils américains majoritairement présents dans l'administration et dans le secteur privé ; financer des centres de recherche publics, et établir des partenariats public-privé pour accélérer la recherche d’innovations de pointe ;
    • le gouvernement va utiliser 200 millions pour faire émerger au moins trois nouveaux cadors du secteur de la cybersécurité, en particulier des startups devenues « licornes » (valorisées à plus d’un milliard d’euros). Cela dit, le gouvernement risque d'avoir des soucis pour mettre en exécution cet aspect de son plan, car, sur les 10 licornes françaises, aucune n’évolue actuellement dans le domaine. Mieux, deux des startups les plus en vue du secteur, Alsid et Sqreed, ont été récemment rachetées par des entreprises américaines ;
    • une partie de l'investissement sera orientée vers la finition et à l'ouverture du Campus Cyber, symbole de la stratégie française. C'est un projet du Président de la République consistant en un grand bâtiment de plus de 20 000 m2, qui va regrouper une soixantaine d’organisations : grands groupes, des PME, mais aussi des organismes publics, des associations, ou encore des startups. Le gouvernement l’envisage comme un « porte-avions » du secteur, capable de faire émerger des projets français d’ampleur.

    L'attaque de SolarWinds aux États-Unis a démontré que l'administration et les agences gouvernementales forment également une catégorie de cibles privilégiées par les hackers. Le gouvernement français semble tout à fait conscient du danger, mais le budget alloué à la résilience de l'administration, ou de son cyberespace en général est considéré comme insuffisant. Pour beaucoup, le secteur de la cybersécurité est encore à ses balbutiements ou carrément quasi inexistant en France, et un budget de 1 milliard sur cinq représente des miettes face à ce que la Chine et les États-Unis sont capables d'investir par an.

    Pour l'heure, le plan d'Emmanuel Macron prévoit d'utiliser 176 millions du milliard d'euros pour renforcer la résilience de l'administration. Rappelons qu'après les attaques des hôpitaux qui ont lieu tout récemment, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a demandé cette semaine de l'aide au gouvernement : « les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils nécessitent des protections supplémentaires et un accompagnement supplémentaire », a-t-il déclaré.

    La réponse du gouvernement se trouve dans les 176 millions d'euros. Plus précisément, pendant les cinq prochaines années, les 176 millions vont permettre à l'État de soutenir les besoins du secteur public, notamment les hôpitaux et les collectivités. Selon les prédispositions du gouvernement, pendant cette période, l'Anssi (agence nationale de sécurité des systèmes d’information) sera chargée de mieux protéger et former les administrations. Depuis quelques années, les fonctions de l'agence ne cessent d'augmenter et depuis peu, elle arrive en première ligne en cas d'incidents liés au cyberespace. Somme toute, les 176 millions devront permettre à l'Anssi de :

    • créer des Cert (Computer Emergency Response Team – équipe de réponse aux incidents informatique) régionaux. Il s'agit d'une sorte de dématérialisation de la réponse à l'incident cybernétique. L'idée du gouvernement est que de petites agences permettront de réagir plus rapidement et efficacement sur le terrain, car certaines cyberattaques peuvent être jugulées avant de se répandre sur l’ensemble d’un système informatique ;
    • multiplier les diagnostics de sécurité auprès des collectivités territoriales et des hôpitaux. Selon le gouvernement, ces entités représentent en effet deux cibles particulièrement prisées des cybercriminels, en raison de la vétusté de leurs réseaux informatiques.

    Source : PwC France, Cyber seek

    Et vous ?

    Cursus d’apprentissage trop longs et complexes ? Recruteurs non spécialisés aux commandes ? Manque de reconnaissance de la profession ? Quels sont les facteurs qui expliquent cette pénurie de talents dans la filière cybersécurité ?
    Comment peut-on parvenir à inverser la tendance ?
    Quel commentaire faites-vous de la stratégie française en matière de cybersécurité ? Quels sont les aspects qui vous paraissent les plus (les moins) pertinents ?

    Voir aussi :

    La France prévoit un budget de 1,6 milliard pour ses cybercombattants, leur effectif devrait également passer à 4000 d'ici 2025

    2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

    81 % des attaques au mobile financier seraient des ransomwares, selon un nouveau rapport d'Atlas VPN

    Le montant total payé par les victimes de ransomware a augmenté de 311 % en 2020, pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies selon Chainalysis

    Par appel téléphonique, des opérateurs derrière des ransomwares veulent intimider des victimes, qui souhaitent éviter de payer la rançon en tentant de restaurer le système depuis une sauvegarde
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur
    Inscrit en
    août 2003
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2003
    Messages : 497
    Points : 899
    Points
    899
    Par défaut
    Sans avoir forcément des formations 100% spécialisées, pour les études liées au métier de développeur, avoir quelques heures dessus serait déjà bien.

    Pour les gens qui sont en cours de formation aux métiers administratifs (donc utilisateur final généralement), ils devraient y avoir aussi de la sensibilisation dessus avec des mises en situations : dans les locaux de l'organisme de formation, mettre en place de faux virus, des cryptolockers afin de leur faire comprendre le risque.

  3. #3
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    709
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 709
    Points : 2 361
    Points
    2 361
    Par défaut
    La raison, c'est que la courbe d'apprentissage est de plus en plus difficile avec une durée de validité des connaissances acquises de plus en plus courte.

  4. #4
    Membre émérite
    Profil pro
    engeneer
    Inscrit en
    juin 2007
    Messages
    901
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : engeneer

    Informations forums :
    Inscription : juin 2007
    Messages : 901
    Points : 2 723
    Points
    2 723
    Par défaut
    Citation Envoyé par smarties Voir le message
    Sans avoir forcément des formations 100% spécialisées, pour les études liées au métier de développeur, avoir quelques heures dessus serait déjà bien.

    Pour les gens qui sont en cours de formation aux métiers administratifs (donc utilisateur final généralement), ils devraient y avoir aussi de la sensibilisation dessus avec des mises en situations : dans les locaux de l'organisme de formation, mettre en place de faux virus, des cryptolockers afin de leur faire comprendre le risque.
    C'est normalement le cas du moins quand t'arrives à bac+5, on t'apprends les buffer overflows, injections SQL, les fonctions de hachage, etc.

  5. #5
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 224
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 224
    Points : 4 734
    Points
    4 734
    Par défaut
    Reste aux pirates à faire le tour des petites annonces et ils se servent au choix...
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  6. #6
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 001
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 001
    Points : 3 597
    Points
    3 597
    Par défaut
    Citation Envoyé par Patrick Ruiz Voir le message
    Comment peut-on parvenir à inverser la tendance ?
    En facilitant le passage depuis des formations/carrières plus orientées réseau ou développement? À partir du moment ou quelqu'un a un peu de bouteille, il peut tout à fait être intéressé par ce genre de carrière au lieu de se voir proposer des postes de management comme seule et unique évolution possible.

    Seulement il faudrait que les boites acceptent de payer de vraies formations aux personnes intéressées (souvent assez chères) plutôt que des formations internes BS devant quelques diapos Powerpoint...
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  7. #7
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2020
    Messages
    37
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juillet 2020
    Messages : 37
    Points : 76
    Points
    76
    Par défaut
    Se baser sur le nombre de postes ouverts pour juger de l'état du marché me semble hasardeux.

    Beaucoup d'entreprises diffusent des annonces dans le simple but de se constituer un vivier de candidats.

  8. #8
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 932
    Points : 27 188
    Points
    27 188
    Par défaut
    Hello,

    Moi je trouve ça drôle.

    Aujourd'hui, il manque 5 000 postes. Donc la réponse du gouvernement est de dire "on va dégager 176 millions sur 5 ans" pour recruter des gens. Mais ils sortent d'où ces gens ? Ils s'auto-forment tous sur developpez.com ?

    Une solution ne serait-elle pas dans la formation ? Mais étrangement, je ne vois pas un mot là-dessus... Trop cher pour eux ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  9. #9
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    709
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 709
    Points : 2 361
    Points
    2 361
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    ...
    La cybersécurité est presque qu'un art mathématique. Une formation ne confère pas automatiquement les qualités requises pour ce type d'activité.

  10. #10
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    2 477
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 2 477
    Points : 16 563
    Points
    16 563
    Par défaut
    La demande explose, mais généralement si les informaticiens Cybersécurité sont des Bac+5 on ne peux pas les former en 5 minutes.
    L'offre de formation Cybersécurité en France est mince, il y a une poignées d'écoles d'ingénieur CTI qui ont un cursus Cybersécurité, et du coté Master pas mieux, juste une poignée de Master en France pour la Cybersécurité.
    Alors il y a les écoles privées, certaines font des trucs pas mal, comme le Groupe Ionis, ou évidement les écoles d'ingénieur du privé qui ont eu le label CTI (plus des labels spécifique Cybersécurité ), celles la sont très bien cotées.

    Alors on pourrait dire : "il suffit d'ouvrir de nouveaux Masters Cybersécurité", oui mais pas évident :
    - Les Fac sont toutes bourrées à craquer, les étudiants suivent les cours dans les escaliers, ou trouver de la place ?
    - Ou recruter les profs de Facs ? qui a fait un Doctorat en Cybersécurité ?
    - Ou trouver des étudiants en maths/science ? Les facs de science n'arrivent pas à recruter d'étudiants en France, le niveau de maths en France s'est écroulé totalement, les Master et les écoles d'ingénieurs à défaut de recruter en prépa ou en L2 info sont obligés de prendre aussi des DUT et des BTS pour compléter leurs effectifs...

    Donc en France le problème se situe dès le collège : niveau de maths nul, résultat impossible de former beaucoup plus d'ingénieurs en cybersécurité, donc les hackers ont encore de beaux jours devant eux...

    Aux USA c'est pas mieux, le niveau est aussi en baisse, et vu que les écoles du supérieur sont payantes tous le monde ne peux pas s'y précipiter...
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  11. #11
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 019
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 019
    Points : 3 544
    Points
    3 544
    Par défaut
    1. Etablir le besoin en se basant sur les offres d'emploi publiées est une farce (par exemple, sur le marché suisse, un vrai poste à pourvoir génère de 10 à 20 offres d'emploi provenant de différents chasseurs de tête et autres SSII et je ne parle pas des annonces bidons servant à se créer une "collection de candidats au cas où" ou servant de pub à faibles coûts)

    2. La cybersécurité est le parfait exemple d'un métier où la formation ne solutionne pas tout: Certes, il faut tout d'abord avoir des personnes ayant reçu une formation de base, mais sur cet effectif, il n'y aura que 1 ou 2% qui possèderont le "talent" (et là ce n'est pas le terme guignolesque des RH, on parle bien des compétences spécifiques que nécessite le métier) de faire ce métier.

    3. Il est illusoire de conclure que la cybersécurité se résume à une multitude de spécialistes... La cybersécurité, c'est avant tout de respecter des règles simples de protection des données et des infrastructures. Quand une majorité des entreprises du monde auront compris qu'il est pas nécessaire de connecter tout et n'importe quoi au web, on aura suffisamment de spécialistes pour répondre aux besoins du marché.

  12. #12
    Membre extrêmement actif

    Homme Profil pro
    .
    Inscrit en
    avril 2014
    Messages
    1 020
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : avril 2014
    Messages : 1 020
    Points : 2 106
    Points
    2 106
    Par défaut
    Citation Envoyé par 23JFK Voir le message
    La raison, c'est que la courbe d'apprentissage est de plus en plus difficile avec une durée de validité des connaissances acquises de plus en plus courte.
    la plupart du Taf en info est orienté technique donc oui, tu est de plus en plus rapidement obsolète.

    Citation Envoyé par inge3000 Voir le message
    Se baser sur le nombre de postes ouverts pour juger de l'état du marché me semble hasardeux.

    Beaucoup d'entreprises diffusent des annonces dans le simple but de se constituer un vivier de candidats.
    Vivier de candidats, même demande de profils pour 15 SSII qui répondent a un même appel d'offre, etc etc .... le nombre de postes a pouvoir est toujours a prendre avec des "pincettes" en info.

  13. #13
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2021
    Messages : 1
    Points : 2
    Points
    2
    Par défaut
    Salut à tous

    J'aimerais comprendre une chose, pourquoi es qu'on parle tout de suite de : formation spécialisé, de Bac +5, de talent, d'art mathématique, alors qu'en même temps on dit que la plupart des hackeurs ne sont que des "script kiddies", ou encore que les cybers criminels russe sont des autodidactes qui n'ont eu que pour seul activité leurs ordinateurs.

    cordialement

  14. #14
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 001
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 001
    Points : 3 597
    Points
    3 597
    Par défaut
    Citation Envoyé par Ramram1 Voir le message
    Salut à tous

    J'aimerais comprendre une chose, pourquoi es qu'on parle tout de suite de : formation spécialisé, de Bac +5, de talent, d'art mathématique, alors qu'en même temps on dit que la plupart des hackeurs ne sont que des "script kiddies", ou encore que les cybers criminels russe sont des autodidactes qui n'ont eu que pour seul activité leurs ordinateurs.

    cordialement
    Parce que ça demande plus de connaissances de protéger que de tout casser, par exemple?

    Tu dis que la plupart des "hackers" sont des "scripts kiddies", donc des utilisateurs d'outils - outils créés par des gens bien plus compétents et moins nombreux.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  15. #15
    Expert confirmé
    Avatar de GLDavid
    Homme Profil pro
    Team & Project Manager
    Inscrit en
    janvier 2003
    Messages
    2 771
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Team & Project Manager
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : janvier 2003
    Messages : 2 771
    Points : 4 166
    Points
    4 166
    Par défaut
    Bonjour

    Mouais... l'état veut plus de gens bossant dans la cybersécurité mais... les entreprises embaucheront elles ces gens-là ?
    Plus généralement, les entreprises sont-elles prêtes à changer leurs procédures pour plus de cybersécurité et d'intégrité des données ?
    Je déploie des équipes pour remédier à ces problèmes de sécurité mais, nous déployons une fois que l'attaque a eu lieu malgré nos solutions de prévention.
    Un exemple? 2017, une grosse pharma se fait attaquer par un ransomware: 1.4 milliard de dollars pour restaurer et comme pertes. On a bossé pour remédier son parc de PC de labo. Notez que cette société étrangère a décidé de mettre des mesures de sécurité même si au final elles s'avèrent peu confortable pour l'utilisateur. Cependant, pas de perte dans la production.
    Maintenant? Une autre boîte pharma française s'est fait attaquer et pareil, on est intervenu après pour remédier ses postes labo. Par contre, pour la prévention, on repassera, c'est toujours de l'artisanal.
    Une autre boîte dont je m'occupe pour migrer ses postes vers Win10. Au début, l'intégrité des données était super importante ! Maintenant? Elle ne l'est plus parce que si on compte data integrity dans le cahier des charges: i) ça coute trop cher; ii) ça met trop de temps pour migrer la dite application. Ils ont recruté un agent qualité pour l'intégrité des données depuis plus d'un an mais je n'ai rien vu comme changement, même mes clients le disent !
    Pour moi, le problème est plus profond, c'est pas un problème de main d'oeuvre, c'est un problème de volonté pour déployer ces mesures de sécurité. Par ailleurs, on peut recruter tous les agents en cybersécurité du monde mais s'ils répondent à une DSI incompétente ou à une assurance qualité qui prétend tout savoir (faites ce que je dis, pas ce que je fais), le bénéfice est nul.

    @++
    GLDavid
    Consultez la FAQ Perl ainsi que mes cours de Perl.
    N'oubliez pas les balises code ni le tag

    Je ne répond à aucune question technique par MP.

  16. #16
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 932
    Points : 27 188
    Points
    27 188
    Par défaut
    Hello,

    Citation Envoyé par Ramram1 Voir le message
    J'aimerais comprendre une chose, pourquoi es qu'on parle tout de suite de : formation spécialisé, de Bac +5, de talent, d'art mathématique, alors qu'en même temps on dit que la plupart des hackeurs ne sont que des "script kiddies", ou encore que les cybers criminels russe sont des autodidactes qui n'ont eu que pour seul activité leurs ordinateurs.
    Il y a plusieurs choses dans ton poste, je vais tâcher d'être clair :
    -> Des script kiddies, il y en a. Ce sont des gens qui utilisent les outils fabriqués par d'autres
    -> Il y a ces gens qui conçoivent les outils ; généralement, ce sont des gens extrèmement qualifiés en conception logicielle
    -> Ce n'est pas parce qu'une personne est autodidacte qu'elle n'est pas aussi compétente qu'une personne diplômée

    Après, dans la sécurité, il y a énormément de postes différents. Celui qui fait des tests d'intrusion n'a pas les mêmes compétences que celui qui conçoit la sécurité des logiciels, et c'est encore un autre métier que de concevoir des plans de continuité (qui ont tous été activés en 2020 pour la pandémie, alors que beaucoup de gens pensaient que ce genre de choses ne servaient à rien), et ainsi de suite.

    Citation Envoyé par GLDavid
    c'est pas un problème de main d'oeuvre, c'est un problème de volonté
    Tout le problème est là.
    La sécurité est vue comme un centre de coût, c'est à dire que ça ne rapporte rien. Au mieux, dans certains domaines, ça permet de vendre un peu plus facilement. Mais ce n'est que trop rarement vu comme un mal nécessaire (ce qui nous sommes d'accord n'est déjà pas la panacée), et presque jamais comme un investissement ultra-rentable.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  17. #17
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    47
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 47
    Points : 216
    Points
    216
    Par défaut Mes 2 cents...
    Eh oui, en cybersécurité le problème est de trouver des enseignants. J'ai fait ces dernières années des formations pour des écoles d'ingénieurs et une université, mais c'était plus pour des raisons d'intérêt général car la rétribution est vraiment dissuasive (heureusement que mon employeur maintenait ma rémunération ).

    En France, la pénurie d'enseignants dans les matières "dures" de la cybersécurité (reverse engineering, analyse de malware, cryptographie, pentest, développement d'exploit, ...) rend difficile de combler cette disette. Ces domaines sont toujours investis par des autodidactes (diplômés ou non). Ici, il faut de la compétence, de la passion et de la persévérance pour exister. A contrario, il est plus facile et rapide de former des consultants spécialisés en analyse de risques et en gouvernance que des experts cybersécurité (ça tombe bien, il s'agit des profils formant le gros des troupes dont les entreprises ont besoin). Les profils experts quant à eux sont rares sur le marché. Ce sont des autodidactes dotés de talents dont le développement de l'expertise a exigé de nombreuses années...

    Les formations actuelles vont permettre de répondre à la pénurie en gouvernance cybersécurité, mais la pénurie dans les métiers de l'expertise techniques vont persister encore longtemps, notamment en France ou la gestion de carrière des filières d'expertise fait défaut (sauf dans quelques rares industries). Après +30 ans d'expertise en cybersécurité, mes collègues d'antan ont quasiment tous évolué vers des carrières managériales et bien souvent dans d'autres secteurs à cause de l'absence d'opportunité d'évolution ou de mobilité. Mes directeurs me font souvent remarquer qu'il serait temps de grandir en devenant manager...

    D'expérience, je constate régulièrement une inadéquation des recruteurs sur le domaine de la cybersécurité, que ce soit de la part des managers métier ou des RH. Les profils techniques sont atypiques et rares, par conséquent il est impératif de bien comprendre les attentes de ces candidats pour espérer les recruter. J'ai malheureusement vu des candidats de qualité écarté car il ne rentrait pas dans le moule du profil "corporate" ! Les recruteurs non spécialisés ne retiennent que des critères dans leur zone de confort, ce qui alimente l'entreprise en profils clones.

  18. #18
    Membre expert
    Profil pro
    Site Reliability Engineer
    Inscrit en
    juillet 2006
    Messages
    916
    Détails du profil
    Informations personnelles :
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Site Reliability Engineer

    Informations forums :
    Inscription : juillet 2006
    Messages : 916
    Points : 3 503
    Points
    3 503
    Par défaut
    Citation Envoyé par pascaldm Voir le message
    En France, la pénurie d'enseignants dans les matières "dures" de la cybersécurité (reverse engineering, analyse de malware, cryptographie, pentest, développement d'exploit, ...)
    Ce sont tous des domaines sans prospective d'emploi par la suite. C'est pas forcement un grand mal que les jeunes ne soient pas forme la dessus.

    La cybersecurite c'est soit de l'audit, un metier ou l'on suit une checklist/scanner et on coche des cases, la grosse difficulte est de comprendre chaque ligne et comment y remedier (ou pas) mais ca tombe souvent sur une personne differente.
    Soit de authentication, gerer/verifier les comptes utilisateurs et les permissions, proprement dans les 17000 applications internes de l'entreprise et 4000 base de donnees.

  19. #19
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 932
    Points : 27 188
    Points
    27 188
    Par défaut
    Citation Envoyé par yento Voir le message
    Ce sont tous des domaines sans prospective d'emploi par la suite. C'est pas forcement un grand mal que les jeunes ne soient pas forme la dessus.

    La cybersecurite c'est soit de l'audit, un metier ou l'on suit une checklist/scanner et on coche des cases, la grosse difficulte est de comprendre chaque ligne et comment y remedier (ou pas) mais ca tombe souvent sur une personne differente.
    Soit de authentication, gerer/verifier les comptes utilisateurs et les permissions, proprement dans les 17000 applications internes de l'entreprise et 4000 base de donnees.
    Je ne suis pas du tout d'accord avec toi. Lorsqu'une entreprise A veut vérifier sa sécurité (informatique bien sûr), elle fait appel à une entreprise de sécurité B, qui va faire du diagnostique, des tests de pénétration, des scans, ... --> les gens qui font ça travaillent dans la cybersécurité

    Et la personne qui fait ton plan de continuité, ça peut être un touriste / chef quelconque, ça peut aussi être une personne de l'équipe cybersécurité (regarde le contenu du CISSP par exemple, les BCP en font partie)

    Et si mettre en place un scan de sécurité ne demande que d'appeler une API, qui va interpréter les résultats ? Encore une personne de ton équipe cybersécurité ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  20. #20
    Membre expert
    Profil pro
    Site Reliability Engineer
    Inscrit en
    juillet 2006
    Messages
    916
    Détails du profil
    Informations personnelles :
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Site Reliability Engineer

    Informations forums :
    Inscription : juillet 2006
    Messages : 916
    Points : 3 503
    Points
    3 503
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Je ne suis pas du tout d'accord avec toi. Lorsqu'une entreprise A veut vérifier sa sécurité (informatique bien sûr), elle fait appel à une entreprise de sécurité B, qui va faire du diagnostique, des tests de pénétration, des scans, ... --> les gens qui font ça travaillent dans la cybersécurité
    On est d'accord la dessus.
    C'est principalement une activite d'audit, cocher des cases pour des certifications (ISO, SoC, PCI) et reformater des rapports generes automatiquement par differents outils.

    C'est un travail peu technique et c'est souvent realise par des personnes peu ou pas technique.
    Le gros revert de la medaille etant que ce sont des jobs courts, on audite une entreprise ou un projet, quelques jours, puis une autre.

    Et si mettre en place un scan de sécurité ne demande que d'appeler une API, qui va interpréter les résultats ? Encore une personne de ton équipe cybersécurité ?
    De mon experience, le rapport est toujours envoyer tel quel aux developpeurs. A eux de comprendre le probleme est de determiner si c'est un faux positif.

Discussions similaires

  1. [Emploi] Quelles sont les raisons des faibles salaires des développeurs 3D ?
    Par Garvelienn dans le forum Développement 2D, 3D et Jeux
    Réponses: 6
    Dernier message: 14/02/2019, 13h31
  2. Réponses: 9
    Dernier message: 12/10/2011, 14h27
  3. [Conception Général] Pour quelles raisons un fichier CSS ne se charge pas ?
    Par Faiche dans le forum Général Conception Web
    Réponses: 0
    Dernier message: 10/09/2008, 14h06
  4. message kernel_panic, pour quelles raisons ?
    Par copro dans le forum Debian
    Réponses: 6
    Dernier message: 10/07/2008, 21h33
  5. Allez vous acheter Leopard, et pour quelles raisons ?
    Par Mathusalem dans le forum Apple
    Réponses: 9
    Dernier message: 29/10/2007, 12h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo