Quel est le point commun entre le Groupe M6, le CHU de Rouen et Fleury Michon ? Réponse : en 2019, ces trois institutions ont subi l'attaque informatique d'un rançongiciel : des cybercriminels leur ont réclamé une grosse somme d'argent pour leur rendre des fichiers sensibles !
On comprend pourquoi la cybersécurité est devenue stratégique pour toutes les entreprises, publiques ou privés, des PME aux grands groupes, et même pour les particuliers et les internautes.
Partout, on cherche donc à recruter des experts capables de protéger consommateurs et entreprises des pirates du continent numérique. Et plus de 1500 emplois sont créés chaque année en France dans ce domaine qui en comptait déjà 24 000 en 2017 selon une étude de l'OPIIEC.
On comprend pourquoi la cybersécurité est devenue stratégique pour toutes les entreprises, publiques ou privés, des PME aux grands groupes, et même pour les particuliers et les internautes.
Partout, on cherche donc à recruter des experts capables de protéger consommateurs et entreprises des pirates du continent numérique. Et plus de 1500 emplois sont créés chaque année en France dans ce domaine qui en comptait déjà 24 000 en 2017 selon une étude de l'OPIIEC.
Quels sont les métiers du secteur ?
Une vingtaine de métiers ont été identifiés en janvier 2019 par Talents du numérique dans une note sur les compétences du secteur (voir en note à la fin).
On peut les exercer dans des lieux variés et sous divers statuts : en étant salarié dans un groupe privé comme une banque ou dans une administration publique (police, défense, douane, hôpital...), ou bien comme consultant envoyé en mission dans diverses entreprises, ou encore comme formateur dans une école, chercheur, ou même fondateur de startup...
Mais commençons par décrire certains de ces métiers, et voyons à chaque fois comment un.e pro l'exerce dans une entreprise particulière.
On peut les exercer dans des lieux variés et sous divers statuts : en étant salarié dans un groupe privé comme une banque ou dans une administration publique (police, défense, douane, hôpital...), ou bien comme consultant envoyé en mission dans diverses entreprises, ou encore comme formateur dans une école, chercheur, ou même fondateur de startup...
Mais commençons par décrire certains de ces métiers, et voyons à chaque fois comment un.e pro l'exerce dans une entreprise particulière.
Responsable de la sécurité des systèmes d'information (RSSI) : le big boss cyber en entreprise
Le responsable de la sécurité des systèmes d'information (RSSI) est un cadre supérieur qui pilote toute la politique de sécurité d'une entreprise, en général de grande taille.
Il conseille la direction, forme les collaborateurs en interne à avoir les bons réflexes, et anime les équipes de techniciens qui intègrent les solutions choisies. Il reste en veille pour suivre les nouveautés en matière de protection, mais aussi pour prévenir les attaques. Et si un problème surgit, il doit piloter la crise, appeler au secours des consultants experts, et informer sa hiérarchie.
Pour assumer toutes ces responsabilités, il faut donc avoir des compétences multiples : un très bon niveau technique bien sûr, mais aussi le sens de la communication, de la pédagogie, l'art du management et de la stratégie...
Un poste de "boss" qui n'est accessible qu'après 5 à 10 ans d'expérience.
Vidéo : Un RSSI témoigne
Il conseille la direction, forme les collaborateurs en interne à avoir les bons réflexes, et anime les équipes de techniciens qui intègrent les solutions choisies. Il reste en veille pour suivre les nouveautés en matière de protection, mais aussi pour prévenir les attaques. Et si un problème surgit, il doit piloter la crise, appeler au secours des consultants experts, et informer sa hiérarchie.
Pour assumer toutes ces responsabilités, il faut donc avoir des compétences multiples : un très bon niveau technique bien sûr, mais aussi le sens de la communication, de la pédagogie, l'art du management et de la stratégie...
Un poste de "boss" qui n'est accessible qu'après 5 à 10 ans d'expérience.
Vidéo : Un RSSI témoigne
Quelles formations ?
La cybersécurité étant une branche de l'informatique, ces métiers sont traditionnellement accessibles après :
- une école d'ingénieurs généraliste ou spécialisée en informatique : EPITA, L'ESIEA Paris ou Laval, l'ENSIBS Vannes, l'EFREI, l'ESAIP Angers...
- un master obtenu en école d'informatique ou à l'université : master 2 OPSIE de l'université Lumière Lyon 2, master IRCOMS de l'université des Hauts de France, master réseaux et télécoms de l'université de Reims Champagne-Ardennes, master de l'université de Bretagne Sud, de l'université Aix-Marseille...
- A savoir : plusieurs grandes écoles proposent aussi aux diplômés d'un bac+5 une spécialisation d'un an à travers un "mastère spécialisé" (MS). On peut ainsi se former en cybersécurité après des études de management par exemple.
La cybersécurité étant une branche de l'informatique, ces métiers sont traditionnellement accessibles après :
- une école d'ingénieurs généraliste ou spécialisée en informatique : EPITA, L'ESIEA Paris ou Laval, l'ENSIBS Vannes, l'EFREI, l'ESAIP Angers...
- un master obtenu en école d'informatique ou à l'université : master 2 OPSIE de l'université Lumière Lyon 2, master IRCOMS de l'université des Hauts de France, master réseaux et télécoms de l'université de Reims Champagne-Ardennes, master de l'université de Bretagne Sud, de l'université Aix-Marseille...
- A savoir : plusieurs grandes écoles proposent aussi aux diplômés d'un bac+5 une spécialisation d'un an à travers un "mastère spécialisé" (MS). On peut ainsi se former en cybersécurité après des études de management par exemple.
Consultant en cyber-sécurité : l'expert.e nomade
Il ou elle intervient de façon ponctuelle pour des entreprises clientes qui ont un problème à résoudre, un projet à monter, une transformation à réussir... Il/elle change donc de mission et de lieu de travail régulièrement, une mobilité que les jeunes diplômés trouvent très formatrice.
Le consultant en cybersécurité doit donc maîtriser à la fois la technique, savoir détecter des risques, mais aussi gérer et piloter un projet, faire des rapports, communiquer avec des équipes...
Le rapport de Talents du Numérique distingue d'ailleurs le consultant sécurité "organisationnel" qui peut conseiller l'entreprise sur son organisation, du consultant sécurité "technique" qui se consacre à l'ingénierie des outils. Certains peuvent aussi se spécialiser dans les aspects juridiques de la cybersécurité (collecte des données personnelles, conséquences pénales d'une cyberattaque, etc.)
Dans tous les cas, une formation de niveau bac+5 (ingénieur ou manager ou juriste) est nécessaire.
Vidéo : Victoria, consultant cybersécurité chez Thalès
Le consultant en cybersécurité doit donc maîtriser à la fois la technique, savoir détecter des risques, mais aussi gérer et piloter un projet, faire des rapports, communiquer avec des équipes...
Le rapport de Talents du Numérique distingue d'ailleurs le consultant sécurité "organisationnel" qui peut conseiller l'entreprise sur son organisation, du consultant sécurité "technique" qui se consacre à l'ingénierie des outils. Certains peuvent aussi se spécialiser dans les aspects juridiques de la cybersécurité (collecte des données personnelles, conséquences pénales d'une cyberattaque, etc.)
Dans tous les cas, une formation de niveau bac+5 (ingénieur ou manager ou juriste) est nécessaire.
Vidéo : Victoria, consultant cybersécurité chez Thalès
Quelles formations ?
Toutes les formations évoquées ci-dessus peuvent convenir, mais on peut aussi acquérir des compétences en sécurité informatique après d'autres études via la formation continue ou même la formation en ligne, par exemple sur le site OpenClassrooms. Signalons aussi :
- le master Management de la sécurité des systèmes d'information à l'IAE Eiffel à Créteil,ouvert à des bac+3 de tout domaine, en apprentissage
- le master Gestion des risques de l'IRIAF à l'université de Poitiers
- le master Cyber-défense et sécurité de l'information (CDSI) à l'université Polytechnique des Hauts de France.
- le master 2 Droit du numérique Parcours cyberveille cyberdéfense cybersécurité de l'université de Franche Comté.
Toutes les formations évoquées ci-dessus peuvent convenir, mais on peut aussi acquérir des compétences en sécurité informatique après d'autres études via la formation continue ou même la formation en ligne, par exemple sur le site OpenClassrooms. Signalons aussi :
- le master Management de la sécurité des systèmes d'information à l'IAE Eiffel à Créteil,ouvert à des bac+3 de tout domaine, en apprentissage
- le master Gestion des risques de l'IRIAF à l'université de Poitiers
- le master Cyber-défense et sécurité de l'information (CDSI) à l'université Polytechnique des Hauts de France.
- le master 2 Droit du numérique Parcours cyberveille cyberdéfense cybersécurité de l'université de Franche Comté.
Le pentester : un hacker éthique qui cherche la faille
Le pentester, lui, fait partie des techniciens qui restent rivés à leurs écrans pour assurer la sécurité d'un système informatique. Sa spécificité est qu'il "ne joue pas en défense", mais en attaque.
Comment cela ? Son job consiste à essayer de pénétrer les systèmes en se mettant dans la peau d'un hacker qui chercherait la faille. Il fait des tests de pénétration ou d'intrusion (d'où le nom "pentester") des systèmes qu'il veut protéger. Rien de tel en effet que de se mettre dans la peau de l'adversaire pour déjouer sa tactique. C'est un peu un "hacker éthique".
Avantage du métier : il peut être accessible à bac+2/3, à condition d'avoir acquis une expérience, d'avoir quelques certifications ou un diplôme. Mieux vaut aussi être patient, méthodique, passionné et très disponible !
Vidéo : un pentester se présente
Comment cela ? Son job consiste à essayer de pénétrer les systèmes en se mettant dans la peau d'un hacker qui chercherait la faille. Il fait des tests de pénétration ou d'intrusion (d'où le nom "pentester") des systèmes qu'il veut protéger. Rien de tel en effet que de se mettre dans la peau de l'adversaire pour déjouer sa tactique. C'est un peu un "hacker éthique".
Avantage du métier : il peut être accessible à bac+2/3, à condition d'avoir acquis une expérience, d'avoir quelques certifications ou un diplôme. Mieux vaut aussi être patient, méthodique, passionné et très disponible !
Vidéo : un pentester se présente
Quelles formations ?
Ce métier, comme d'autres de techniciens (intégrateur sécurité, administrateur, ou analyste SOC), est accessible, par exemple, après un DUT ou un BTS d'informatique, puis une année de licence professionnelle.
- L'université Polytechnique des Hauts de France propose la licence professionnelle Cyber Défense Anti-Intrusion des systèmes d'information (LP CDAISI) qui forme au métier de Pentester.
- Les IUT de Pau, celui de Béziers (université de Montpellier), de Cézeaux Aubière, de Créteil, de La Roche sur Yon, d'Annecy, de St-Malo, de Colmar, d'Aix Marseille, de Blagnac, de Vélisy, de Blois, et l'université Grenoble-Alpes proposent également des licences professionnelles orientées vers la sécurité informatique.
- Bon plan : Il existe aussi une quinzaine de formations en cybersécurité labellisées par la Grande Ecole du numérique (GEN) comme celles de Simplon, WebForce3 ou la Pop School. Elles sont accessibles sans condition de diplôme, même sans bac ! On peut les découvrir sur le site grandeecoledunumerique.fr avec le mot-clé "cybersécurité".
- Par la formation continue, on peut obtenir le titre professionnel de technicien supérieur en réseaux informatiques et télécommunication d'entreprise (TSRIT) de niveau bac+2.
Ce métier, comme d'autres de techniciens (intégrateur sécurité, administrateur, ou analyste SOC), est accessible, par exemple, après un DUT ou un BTS d'informatique, puis une année de licence professionnelle.
- L'université Polytechnique des Hauts de France propose la licence professionnelle Cyber Défense Anti-Intrusion des systèmes d'information (LP CDAISI) qui forme au métier de Pentester.
- Les IUT de Pau, celui de Béziers (université de Montpellier), de Cézeaux Aubière, de Créteil, de La Roche sur Yon, d'Annecy, de St-Malo, de Colmar, d'Aix Marseille, de Blagnac, de Vélisy, de Blois, et l'université Grenoble-Alpes proposent également des licences professionnelles orientées vers la sécurité informatique.
- Bon plan : Il existe aussi une quinzaine de formations en cybersécurité labellisées par la Grande Ecole du numérique (GEN) comme celles de Simplon, WebForce3 ou la Pop School. Elles sont accessibles sans condition de diplôme, même sans bac ! On peut les découvrir sur le site grandeecoledunumerique.fr avec le mot-clé "cybersécurité".
- Par la formation continue, on peut obtenir le titre professionnel de technicien supérieur en réseaux informatiques et télécommunication d'entreprise (TSRIT) de niveau bac+2.
Chef de projet Sécurité ou créateur de solution :
Le chef de projet Sécurité travaille pour une société qui vend un service digital ou un objet connecté. Sa mission consiste à vérifier que le logiciel, l'objet ou le service ne présente pas de faille de sécurité pour les utilisateurs. Il s'assure aussi que la réglementation et le cadre juridique sont bien respectés.
Pour cela, Il analyse les risques à éviter, met au point les tests et les évaluations puis forme les utilisateurs ou rédige les documents d'utilisation.
On peut exercer ce type de métier dans des secteurs particuliers : l'aéronautique, les processus industriels, la défense, les transports, l'identité numérique, les moyens de paiement, l'enseignement... A chaque fois, il faut aussi avoir une connaissance particulière des outils métiers.
On peut aussi inventer son logiciel ou sa solution de cybersécurité et créer son entreprise.
Vidéo : Nicolas, co-fondateur de Moabi, logiciel pour le véhicule connecté
Pour cela, Il analyse les risques à éviter, met au point les tests et les évaluations puis forme les utilisateurs ou rédige les documents d'utilisation.
On peut exercer ce type de métier dans des secteurs particuliers : l'aéronautique, les processus industriels, la défense, les transports, l'identité numérique, les moyens de paiement, l'enseignement... A chaque fois, il faut aussi avoir une connaissance particulière des outils métiers.
On peut aussi inventer son logiciel ou sa solution de cybersécurité et créer son entreprise.
Vidéo : Nicolas, co-fondateur de Moabi, logiciel pour le véhicule connecté
Quelles formations ?
En plus des formations déjà citées :
- Ecole Le chiffre (Lille) : formation en alternance de 14 mois (en contrat de professionnalisation) Expert cybersécurité des systèmes industriels et de production
- L'ESILV, école d'ingénieurs de Paris La Défense a créé une majeure en 5ème année sur la sécurité des objets connectés.
En plus des formations déjà citées :
- Ecole Le chiffre (Lille) : formation en alternance de 14 mois (en contrat de professionnalisation) Expert cybersécurité des systèmes industriels et de production
- L'ESILV, école d'ingénieurs de Paris La Défense a créé une majeure en 5ème année sur la sécurité des objets connectés.
Cryptologue : l'expert des codes secrets
La cryptologie est la sciences des codes secrets, or la sécurité informatique utilise des procédés pour "crypter", c'est-à-dire rendre indéchiffrables certains codes et éviter que l'on puisse accéder à des fichiers sensibles : mots de passe, identifiants de compte en banque, numéros de cartes bancaires, etc.
Il ou elle a donc une excellente connaissance des algorithmes, des clés et des bibliothèques cryptographiques, une science qui exige un haut niveau en mathématiques et informatique (de bac+5 au Doctorat).
Il peut travailler dans l'audit ou le conseil, la banque, l'industrie de la carte à puce, la Défense, mais peut aussi les laboratoires de recherche.
Vidéo : Mélissa, chercheur en cryptologie à l'Ecole normale supérieure
Il ou elle a donc une excellente connaissance des algorithmes, des clés et des bibliothèques cryptographiques, une science qui exige un haut niveau en mathématiques et informatique (de bac+5 au Doctorat).
Il peut travailler dans l'audit ou le conseil, la banque, l'industrie de la carte à puce, la Défense, mais peut aussi les laboratoires de recherche.
Vidéo : Mélissa, chercheur en cryptologie à l'Ecole normale supérieure
Quelles formations ?
- Des écoles d'ingénieurs spécialisées en mathématiques et informatique offrent souvent une spécialisation en cryptologie : l'Ensimag propose avec l'INP Grenoble le master Cryptologie, sécurité et codage de l'information, l'ESIEA...
- le master Mathématiques de l'information, cryptographie de l'université Renne I
- le master Informatique parcours Cryptis ou le master mathématiques parcours Cryptis de l'université de Limoges
- le master en cryptologie et sécurité informatique de l'université de Bordeaux
- le double master Mathématiques, Informatique de la cryptologie et sécurité de l'université de Paris
- le master Arithmétique, codage et cryptologie de l'université Paris 8 Vincennes Saint-Denis
- Des écoles d'ingénieurs spécialisées en mathématiques et informatique offrent souvent une spécialisation en cryptologie : l'Ensimag propose avec l'INP Grenoble le master Cryptologie, sécurité et codage de l'information, l'ESIEA...
- le master Mathématiques de l'information, cryptographie de l'université Renne I
- le master Informatique parcours Cryptis ou le master mathématiques parcours Cryptis de l'université de Limoges
- le master en cryptologie et sécurité informatique de l'université de Bordeaux
- le double master Mathématiques, Informatique de la cryptologie et sécurité de l'université de Paris
- le master Arithmétique, codage et cryptologie de l'université Paris 8 Vincennes Saint-Denis
Comment se préparer au lycée ?
Si ces métiers vous intéressent, vous avez intérêt à prendre une spécialité informatique pour tester votre goût et commencer à avoir une culture numérique :
- Si vous faites un bac technologique STI2D, vous pouvez prendre la spécialité SIN (Systèmes d'information et numérique) en terminale. C'est la meilleure voie pour viser un IUT, un BTS ou une licence professionnelle.
- Si vous faites un bac général, vous pouvez prendre la spécialité Numérique et Sciences informatiques (NSI). La spé "Mathématiques" est aussi conseillée, nécessaire pour faire une école d'ingénieurs. Vous pouvez aussi prendre Sciences de l'ingénieur si vous envisagez d'aller vers l'industrie ou les objets connectés.
- A savoir : il y a une nouvelle filière de CPGE scientifique, Maths Physiques Informatique (MPI) qui convient parfaitement à ceux et celles qui voudraient aller vers la cybersécurité, via une école d'ingénieurs ou l'université.
- Les femmes ne sont que 11% dans la cybersécurité, alors que le secteur est passionnant, paye bien et cherche des talents et des profils variés. Mesdemoiselles, il faut donc enlever vos oeillères et y penser davantage !
- Si vous faites un bac technologique STI2D, vous pouvez prendre la spécialité SIN (Systèmes d'information et numérique) en terminale. C'est la meilleure voie pour viser un IUT, un BTS ou une licence professionnelle.
- Si vous faites un bac général, vous pouvez prendre la spécialité Numérique et Sciences informatiques (NSI). La spé "Mathématiques" est aussi conseillée, nécessaire pour faire une école d'ingénieurs. Vous pouvez aussi prendre Sciences de l'ingénieur si vous envisagez d'aller vers l'industrie ou les objets connectés.
- A savoir : il y a une nouvelle filière de CPGE scientifique, Maths Physiques Informatique (MPI) qui convient parfaitement à ceux et celles qui voudraient aller vers la cybersécurité, via une école d'ingénieurs ou l'université.
- Les femmes ne sont que 11% dans la cybersécurité, alors que le secteur est passionnant, paye bien et cherche des talents et des profils variés. Mesdemoiselles, il faut donc enlever vos oeillères et y penser davantage !
Pour en savoir plus
- L'Agence nationale de la sécurité des systèmes d'information (ANSSI) développe la formation et la sensibilisation des entreprises et des particuliers sur ces sujets. Son site www.ssi.gouv.fr/ donne des formations intéressantes sur les métiers et les formations.
L'ANSSI propose un cours en ligne gratuit ou MOOC d'initiation (La SecNumAcadémie) accessible à partir de 15 ans, jusqu'au 31 mai 2021.
- Télécharger ci-dessous le rapport sur les métiers de la cybersécurité de Talents du numérique :
L'ANSSI propose un cours en ligne gratuit ou MOOC d'initiation (La SecNumAcadémie) accessible à partir de 15 ans, jusqu'au 31 mai 2021.
- Télécharger ci-dessous le rapport sur les métiers de la cybersécurité de Talents du numérique :