En réponse à l’augmentation du nombre des cyberattaques, les entreprises françaises recrutent de plus en plus d’experts capables d’appréhender les évolutions permanentes de la cybermenace. Elles peinent toutefois à satisfaire tous leurs besoins en raison d’un manque de main-d’œuvre dans cette filière.
Les cyberattaques visant les sociétés françaises ne cessent d’augmenter. En 2021, 1 082 intrusions ont affecté leurs systèmes d’information, un chiffre en augmentation de 37 % sur un an et de 200 % par rapport à 2016, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Encore, ce décompte ne recense pas les innombrables tentatives de déstabilisation contrées chaque jour par les cibles. « La menace est devenue multiforme, indique Gérôme Billois, responsable de la practice cybersécurité chez Wavestone. Elle se concrétise, par exemple, par des attaques aux rançongiciels, du sabotage, de l’espionnage ou encore du hacktivisme, et vise tant les systèmes informatiques des entreprises que leurs sites Internet, leurs chaînes de production, et même leurs produits. »
Pour tenter de la contrer, nombre de groupes n’ont d’autre choix que de se réorganiser. Ils créent puis structurent, au sein de leurs directions des systèmes d’information, des départements exclusivement dédiés à la cybersécurité. « Il y a quelques années, ces départements n’étaient encore que des cellules dirigées par un RSSI et constitués de quelques collaborateurs qui intervenaient transversalement sur des problématiques liées à l’analyse des risques, à la surveillance et à la protection des réseaux, détaille Gérôme Billois. Ils ont progressivement crû en taille jusqu’à compter, parfois, plusieurs centaines, voire plusieurs milliers de membres, et se sont peu à peu organisés en sections spécialisées, actives dans la prévention, la détection et la réponse aux incidents. »
«Certaines entreprises recrutent des auditeurs appelés “pentesters”, chargés de soumettre leurs systèmes d’information à des tests d’intrusion. »
Répondre aux incidents
Ces sociétés n’augmentent pas seulement la taille de leurs équipes cybersécurité, mais diversifient également leurs compétences. Pour ce faire, elles recrutent de nouveaux profils d’experts. Ces derniers s’occupent, d’abord, d’anticiper les agressions. « Ces spécialistes pratiquent, entre autres disciplines, la “threat intelligence”, souligne Gérôme Billois. Ils sondent l’univers numérique pour identifier les groupes de hackers et les logiciels malveillants susceptibles de viser leurs organisations, pour discerner leurs cibles potentielles et pour analyser leurs modes opératoires. » Sur la base de ces investigations, d’autres cyberexperts embauchés par les entreprises ont pour mission de protéger les systèmes. Parmi ces spécialistes figurent notamment les ingénieurs responsables de la gestion des « security operations centers » ou SOC, ces tours de contrôle informatiques qui permettent de surveiller en direct tous les mouvements effectués sur les réseaux. « Certaines structures font même appel à des auditeurs appelés “pentesters”, en charge de la réalisation des “tests d’intrusion” ou “penetration testings”, explique Nicolas Arpagian, director cybersecurity strategy chez Trend Micro. Ces tests consistent à soumettre les architectures numériques des organisations à des attaques simulées pour en éprouver la solidité et en détecter les failles, ce qui permettra ultérieurement d’appliquer des correctifs appropriés. » Ce travail de sécurisation, qui repose notamment sur l’application de patchs et la mise en place de restrictions d’accès, incombe à une troisième catégorie de spécialistes. « Ceux-là interviennent sur les systèmes d’information, mais également sur de plus petites fractions de l’architecture numérique des entreprises, comme les systèmes industriels des chaînes de production, des logiciels métiers, voire, des applications ou des objets connectés », précise Nicolas Arpagian.
Les groupes se focalisent non seulement sur la prévention des attaques, mais aussi sur leur traitement. Cette stratégie les amène, de plus en plus, à internaliser les services de spécialistes de la « réponse à incidents » ou « computer emergency response » qui, il y a peu, officiaient encore pour la plupart en qualité de consultants. « Ces experts ne sont pas uniquement chargés de contrer les cyberagressions et de réparer les systèmes attaqués, insiste Nicolas Arpagian. Ils ont également pour tâche de détecter, conserver et analyser les éléments qui permettront, a posteriori, de reconstituer les différentes étapes des attaques, de concevoir des protections plus efficaces, de documenter d’éventuelles procédures judiciaires et de fournir des précisions techniques aux assureurs. »
Des niveaux de rémunération variables
- Les niveaux de rémunération des professionnels français de la cybersécurité salariés d’entreprises sont très variables, révèle une récente étude de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 12 % d’entre eux perçoivent moins de 35 000 euros brut par an, 36 % entre 35 000 et 55 000 euros, 25 % entre 55 000 et 75 000 euros, 15 % entre 75 000 et 100 000 euros, et 12 % plus de 100 000 euros.
- Ces rémunérations sont corrélées à la taille des organisations : plus de 40 % des professionnels les moins bien rémunérés (qui perçoivent moins de 35 000 euros annuellement) travaillent dans des structures de moins de 250 salariés.
- A l’inverse, plus de 63 % des experts les mieux rémunérés (dont le salaire annuel dépasse 75 000 euros) sont employés dans des sociétés qui comptent plus de 1 000 salariés.
Savoir gérer un budget
Pour orchestrer leur changement d’échelle, certaines sociétés n’hésitent plus à réaliser des investissements d’ampleur. Selon IDC France et mc2i, les seules dépenses des entreprises consacrées à la sécurité IT devraient atteindre 4,7 milliards d’euros cette année, contre 4,3 milliards d’euros en 2021. La gestion de ces enveloppes incombe, cette fois, à des managers d’un genre nouveau : les « chiefs of staff » des départements cybersécurité. « Il n’est plus rare de voir ces “chiefs of staff”, acteurs essentiels de la construction des reporting budgétaires, siéger au sein des comités exécutifs », souligne Gérôme Billois.
Selon l’Observatoire des métiers de la cybersécurité de l’ANSSI, 45 % des professionnels de la cybersécurité qui évoluaient au sein d’entreprises françaises à fin 2021 avaient, alors, moins de cinq ans d’ancienneté. Un chiffre qui témoigne de la rapidité du virage pris par les sociétés. Toutefois, à cette même date, entre 5 000 et 15 000 de ces postes restaient à pourvoir, selon l’agence et PwC. « Les entreprises, mais aussi les institutions publiques et les cabinets de conseil, peinent à recruter des spécialistes de la cybersécurité, constate Gérôme Billois. En effet, l’offre de talents n’est pas aussi importante que la demande, alors même qu’un nombre toujours plus important d’organismes proposent des formations dédiées. » La filière semble pourtant offrir de belles perspectives : selon l’étude de l’ANSSI, 80 % des experts estimaient l’an dernier que les enjeux de la cybersécurité étaient pris en compte dans leur structure, et 89 % se disaient satisfaits de l’exercice de leur métier.
