En 2022, plus d’une entreprise française sur deux a subi au moins une cyberattaque (*). Demain, toutes seront confrontées à des actes de malveillance, les PME notamment, chevaux de Troie tout trouvés pour des pirates qui ont parfaitement compris l’efficacité des chaines de sous-traitance dans la propagation de leurs virus.
Les conséquences d’une attaque peuvent être dramatiques : une entreprise attaquée perd en moyenne 27 % de son chiffre d’affaires annuel et 60% des PME déposent le bilan dans les 18 mois qui suivent l’attaque (*).
Face à ce nouveau risque, la nécessité de mettre en œuvre une véritable culture de prévention fait aujourd’hui consensus. Le chantier est colossal, et chacun doit y prendre sa part.

30 000 postes vacants en 2030
C’est sans doute sur le terrain des talents que l’urgence s’exprime avec le plus d’acuité. Le chiffre est souvent agité comme un chiffon rouge : Il faudrait former quatre millions de personnes pour répondre aux besoins de la cybersécurité à l’échelle mondiale.
La France, plutôt à la pointe en matière d’expertises numériques, ne fait pas exception. Ses entreprises et institutions manquent cruellement de compétences - en nombre et en valeur - pour endiguer la montée en puissance exponentielle du risque et se préparer aux enjeux associés. Le nombre de postes vacants est évalué à 15 000 et devrait grimper à 30 000 à horizon 2030.
Soyons clairs : le flux sortant des formations d’ingénieurs ne suffira pas, loin de là, à combler les trous dans la raquette. Selon Etudestech.com, site de référence sur les formations numériques, sur les 550 000 étudiants passés par l’enseignement supérieur privé en 2020 en France, seuls 800 ont été formés à la cybersécurité via des programmes spécialisés, généralement de niveau post-Master ingénieur. Quant aux écoles dédiées à la cybersécurité, elles se comptent encore en France sur les doigts d’une main.
Or, Il faut répondre au déploiement fulgurant d’une filière cybersécurité dont le gouvernement a annoncé vouloir doubler le chiffre d’affaires et les effectifs en 2025, en consacrant notamment 140 millions d’euros à la formation.
Il faut aussi accompagner toutes les entreprises au quotidien, à commencer par les PME, dans la réaction, la gestion et l’anticipation du phénomène.

Des métiers techniques, mais pas que…
Première bonne nouvelle : n’en déplaise aux stéréotypes, la cybersécurité n’est pas réservée au parcours calibré du « garçon fort en maths - bac S – école d’ingénieurs ». Elle recouvre plus d’une trentaine de métiers, pas nécessairement techniques, qui peuvent intéresser autant les femmes que les hommes, également les personnes en reconversion professionnelle ou encore les diplômés de filières non scientifiques. Mieux : les entreprises ont tout intérêt à diversifier les profils affectés tout ou partie à la cybersécurité, à miser dès aujourd’hui sur les pedigrees a priori atypiques.
Deuxième bonne nouvelle : ces ressources se trouvent déjà dans leurs murs. Parce qu’elle renvoie aux fonctions vitales des organisations, la cybersécurité est un sujet transversal et opérationnel, qui confine à l’informatique, au juridique, aux ressources humaines, aux achats, à la communication, aux finances… C’est au sein de ces différents départements et vers leurs propres collaborateurs que les employeurs doivent consentir des efforts de formation.
Les besoins en cybersécurité sont tels qu’il faut dès aujourd’hui accélérer le développement tous azimuts de programmes d’apprentissage à tous les niveaux de diplôme, de qualification ou de certification, en cursus initial comme en formation continue, en présentiel comme en distantiel, pour consolider dès aujourd’hui tous les métiers qui assureront demain et au quotidien la sécurité, la compétitivité et le développement des entreprises, ainsi que l’indépendance numérique de la France.

(*) Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) et Autorité Nationale en matière de Sécurité de défense des Systèmes d’Information (ANSSI).