Les professionnels de la sécurité informatique : entre formation académique et autodidacte

La croissance des cyber-attaques au fil des ans a entraîné une demande accrue de professionnels de la sécurité de l'information. Selon des études récentes qui prennent 2013 comme point de référence, la croissance des postes vacants dans le secteur de la cybersécurité devrait augmenter de 350 % d'ici 2021. Toutefois, on estime que la pénurie de professionnels suffisamment qualifiés pour répondre à cette demande devrait générer, pour la même année, trois millions et demi de postes vacants dans le monde qui ne seront pas pourvus.

Compte tenu de ce panorama et en pensant particulièrement aux plus jeunes, dans le cadre de la série sur l'éducation en sécurité informatique que nous publions chaque lundi de novembre à l'occasion de la Journée Anti logiciel malveillant 2019, nous avons décidé de consulter différents spécialistes qui travaillent dans l'industrie pour savoir comment ils ont été formés dans ce domaine, combien il est vrai que plusieurs des professionnels travaillant actuellement dans cette industrie ont appris en autonomie, si ils considèrent que l'offre universitaire est adaptée à cette demande croissante et que leur opinion sur la diffusion des carrières et spécialisations dans ce domaine est en phase de formation.

Formation autodidacte?

Bien que de plus en plus d'universités dans le monde offrent des diplômes en sécurité informatique, ce n'est pas encore un diplôme que l'on trouve dans tous les établissements. De nombreux professionnels dans ce domaine ont acquis leurs compétences par le biais de certifications et de manière autodidacte. Cependant, bien qu'elles ne soient pas aussi répandues qu'elles devraient l'être si l'on considère la demande, la réalité est que l'offre augmente, disent les spécialistes.

Selon Aryeh Goretsky, chercheur émérite d'ESET ayant commencé à travailler dans l'industrie à la fin des années 1980, il n'y avait aucun cours ou certification sur la cybersécurité au début. Il explique : « Bien qu'on nous ait enseigné la sécurité informatique, l'accent a été mis sur les modèles de contrôle d'accès et le concept de sécurisation des systèmes informatiques pour plusieurs utilisateurs, mais pas dans une perspective plus large ou en tant que système interconnecté globalement. Par conséquent, ceux qui s'intéressaient au concept de cybersécurité, compte tenu du comportement des ordinateurs et des réseaux interconnectés qui communiquaient entre eux, ont dû l'apprendre par eux-mêmes à partir de livres et d'expériences pratiques  ».

Pour sa part, Marc-Etienne Léveillé, chercheur en logiciels malveillants au bureau de recherche d'ESET au Canada, qui a étudié le développement de logiciels et le génie informatique, explique que « plusieurs des choses que j'ai apprises à l'université ne s'appliquent pas à mon poste de chercheur, ce qui m'a amené à devoir lire et apprendre par moi-même de nombreux aspects de la sécurité.

Il ne fait aucun doute que le scénario d'aujourd'hui contribue énormément à l'apprentissage autodidacte. On le voit avec l'offre éducative et de qualité offerte par les plateformes qui offrent des cours en ligne massifs et ouverts (MOOC, pour son acronyme en anglais) comme Coursera, avec la possibilité offerte par les réseaux sociaux comme Twitter de partager constamment des informations et dans lesquels de grands professionnels se connectent avec des personnes avides d'apprendre; en plus des nombreuses ressources disponibles sur YouTube, sites web et autres dépôts. « Bien que l'autoformation soit une voie possible et que de nombreux professionnels de cette industrie aient été formés de cette façon, ce n'est pas la seule option  », explique Daniel Cunha Barbosa, chercheur d'ESET au Brésil. Il ajoute :« Il est également vrai que la communauté de la technologie et de la sécurité est en pleine croissance et qu'une grande partie d'entre eux aiment partager leurs connaissances, ce qui permet aux professionnels en démarrage d'obtenir le soutien d'autres professionnels ».

Cependant, malgré le besoin fréquent d'apprendre par eux-mêmes de nombreux aspects de la sécurité et du travail quotidien des chercheurs, plusieurs s'entendent sur la valeur de la formation universitaire. « Si je devais choisir à nouveau la voie à suivre, je choisirais à nouveau l'université, car elle m'a donné l'occasion de rencontrer de nombreuses personnes et de participer à différentes activités parascolaires », explique Marc Etienne.

Développement de l'offre académique en sécurité informatique

Comme les incidents de sécurité ont augmenté au fil des ans, le désir d'uniformiser les aspects pédagogiques de ceux qui souhaitent suivre une formation dans ce secteur s'est accru, explique M. Goretsky. « D'une manière générale, je pense que le large éventail d'enseignement disponible à tous les niveaux de cybersécurité est positif, mais je suis également préoccupé par la qualité de l'enseignement offert », précise ce dernier. « Nous avons besoin à la fois de professionnels ayant des connaissances théoriques et des profils opérationnels, et nous avons besoin qu'ils aient tous de solides connaissances sur les éléments constitutifs des systèmes complexes. Bien qu'une grande partie de ces connaissances puisse être apprise, l'auto-apprentissage est encore nécessaire pour apporter les connaissances acquises dans la construction de structures complexes et le développement d'idées, mais je ne sais pas si l'offre et les certifications de troisième cycle fournissent un cadre suffisant ou limité pour une base solide des concepts de cybersécurité », ajoute-t-il.

Dans des pays comme le Canada, l'offre de cours universitaires en cybersécurité a augmenté, dit M. Léveillé. « Aujourd'hui, il existe des diplômes avec des spécialisations en sécurité informatique, alors qu'auparavant, la seule option était de développer des logiciels ou des réseaux informatiques. De même, il y a toujours une demande croissante de professionnels qui doit être couverte dans notre industrie. Peut-être qu'avec l'effort des programmes éducatifs, nous verrons dans quelques années une situation plus stable », dit-il.

Pour Cunha Barbosa, « il est plus positif qu'il existe des programmes de spécialisation et de troisième cycle que des diplômes eux-mêmes, car un diplôme qui donne à l'avenir professionnel une base plus large lui permettra de connaître des aspects technologiques qui vont au-delà de la sécurité et l'aidera à devenir un professionnel mieux préparé. »

Dans quelle mesure les carrières dans le domaine de la cybersécurité sont-elles bien promues ?

Bien souvent, les jeunes sont confrontés à un processus difficile lorsqu'il s'agit de choisir une carrière à étudier. Beaucoup terminent leurs études secondaires sans avoir été très clairs sur ce qu'ils veulent faire de leur vie. Au-delà de la multiplicité des facteurs qui entrent en jeu et rendent ce processus difficile, le fait de ne pas disposer d'informations sur des carrières moins traditionnelles signifie que les jeunes ne parviennent pas à relier leurs intérêts et leurs goûts personnels à un espace de formation.
Plusieurs spécialistes s'accordent à dire que la visibilité des carrières en sécurité est plus grande aujourd'hui qu'il y a quelques années. « Avant, c'était quelque chose que vous deviez découvrir par vous-même, mais maintenant je vois beaucoup plus d'étudiants intéressés par la sécurité informatique en tant qu'étudiant. Maintenant, on voit qu'il y a de plus en plus d'entreprises et d'écoles qui veulent intéresser les étudiants », dit M. Léveillé.

D'un autre côté, « les jeunes se font souvent une fausse idée de ce qu'est la cybersécurité et n'en réalisent pas la portée », explique Aryeh Goretsky. Les jeunes peuvent trouver attrayante l'image d'un prototype de pirate informatique attaquant des ordinateurs et acquérant gloire et argent, mais il faut aussi expliquer ce que fait la cybersécurité. « Je pense qu'il y a un manque général de sensibilisation, car la défense des réseaux et des équipements contre une attaque est souvent une tâche plus difficile et plus intense que l'attaque de ces réseaux et ordinateurs. Cependant, ce que les médias et l'industrie du divertissement transmettent est une image biaisée et idéalisée de l'agresseur et non de ceux qui travaillent du côté de la défense, ce qui déforme la vision de ce qu'est la cybersécurité, » dit-il.

La sécurité à la conception : un problème de formation?

A la question de savoir s'ils considèrent que les contenus de sécurité vus au cours du processus de formation par les futurs programmeurs et/ou développeurs sont suffisants pour que les professionnels, lorsqu'ils feront le saut sur le marché du travail, soient capables de fournir des systèmes sécurisés, Marc Etienne répond que « le développement sécurisé est très bien enseigné aujourd'hui. Le problème est que les développeurs ont besoin d'être incités à appliquer ce qu'ils ont appris. Les problèmes de sécurité dans le code doivent être détectés pendant l'examen du code et doivent être résolus avant d'être inclus dans le projet. Si les développeurs constatent que leur code est toujours rejeté, ils seront plus attentifs et développeront des réflexes appropriés ».

Le développement des professionnels dans le domaine de la sécurité informatique doit être constant en raison de l'évolution continue des menaces. Bien qu'il existe actuellement de nombreuses options pour développer des compétences suffisantes dans ce domaine, telles que des carrières, des spécialisations, des certifications et même des cours et du matériel disponibles pour étudier de façon autonome, il est clair qu'il n'existe pas de solution unique.