Le SANS Institut, une société de recherche et de formation spécialisée dans la cybersécurité, a mené une enquête auprès de plus de 500 praticiens du domaine venus de 284 entreprises différentes. L’objectif : déterminer les compétences qu’ils jugent les plus utiles pour les candidats à un emploi, ainsi que les aptitudes qui leur font le plus souvent défaut.

Un écart important entre les compétences attendues et les compétences maîtrisées

L’étude a d’abord demandé aux participants de classer diverses compétences techniques sur une échelle allant de « critique » (pour les plus importantes) à « non-nécessaire » (pour les moins importantes). On découvre ainsi que 85% des répondants ont classé la maîtrise des réseaux comme une compétence essentielle. La maîtrise du système d’exploitation Linux arrive en seconde position avec 77% des participants qui l’ont classée comme importante. La maîtrise de Windows et les techniques d’exploitation courantes ferment le podium à égalité puisque toutes deux récoltent 73%. S’en suivent ensuite la maîtrise des architectures informatiques et de la virtualisation (67%) et la cryptographie et des données (58 %). Enfin, la programmation n’est considérée que par 39% des participants comme une compétence essentielle.

Par la suite, les professionnels interrogés ont dû noter leur vivier de candidats en fonction des compétences qu’ils maitrisaient ou non. Voici ce qu’il en ressort :

Un tableau des compétences des demandeurs d'emploi en cybersécurité classés selon leurs compétences.

Image : SANS Institut

Comme on peut le constater, le pourcentage de candidats n’étant pas en mesure d’effectuer des tâches basiques est particulièrement élevé dans les domaines qui sont, parallèlement, souvent considérés comme essentiels pour les recruteurs. Au contraire, le pourcentage de candidats maîtrisant parfaitement les compétences les plus recherchées est extrêmement bas. Alan Paller, directeur de recherche au SANS Institut précise :

« Les employeurs signalent que la préparation des étudiants à la cybersécurité est largement insuffisante et qu’ils sont frustrés de devoir passer des mois à chercher avant de trouver des employés qualifiés de premier échelon, s’il y en a. »

Pour Brian Krebs, spécialiste en cybersécurité, cette situation est le résultat de formations scolaires particulièrement pauvres et pas du tout adaptées aux besoins des entreprises. Il explique :

« La vérité, c’est que les professionnels en sécurité informatique les plus intelligents, les plus perspicaces et les plus talentueux que je connais aujourd’hui, n’ont aucun diplôme en informatique. En fait, beaucoup d’entre eux ne sont même pas allés à l’université. Ils se sont plutôt lancés dans la cybersécurité parce qu’ils étaient passionnés et intensément curieux sur le sujet, et c’est cette curiosité qui les a amenés à apprendre autant de choses qu’ils le pouvaient ».

Comment acquérir les compétences nécessaires en cybersécurité pour séduire les employeurs ?

Si les diplômes et les formations scolaires traditionnelles n’offrent pas les compétences nécessaires pour devenir un bon professionnel en cybersécurité et séduire les recruteurs, alors comment s’y prendre ? Pour Brian Krebs, le tout réside dans l’apprentissage et la pratique. Pour acquérir les compétences nécessaires, il conseille de faire appel aux « innombrables ressources gratuites disponibles » sur Internet. Il recommande notamment Metasploit, WebGoat, Kali Linux ou encore Nmap, Nessus, OpenVAS et Nikto. Une liste qui n’est en aucun cas exhaustive, mais qui permet d’acquérir de solides connaissances.

Par la suite, le spécialiste en cybersécurité explique qu‘il est important de tester les connaissances acquises en participant à des programmes de bug bounty et en veillant à respecter les règles établies par ces derniers. De nombreuses entreprises ont recours à de tels programmes pour mettre en évidence des failles de sécurité dans leurs services. C’est notamment le cas d’Apple qui a déjà récompensé un chercheur avec la jolie somme de 100 000 dollars ou encore de Riot Games qui a lancé une chasse aux bugs pour son jeu Valorant. Facebook, Google ou encore BlaBlaCar possèdent, eux aussi, des programmes similaires.

Aussi, Brian Krebs note qu’il est recommandé de « créer son propre laboratoire de piratage« . Il explique : « Vous pouvez le faire avec un ordinateur ou un serveur de rechange, ou avec du matériel plus ancien et bon marché, acheté sur des sites comme eBay. Des outils de virtualisation gratuits comme VirtualBox peuvent vous permettre de vous familiariser facilement avec différents systèmes d’exploitation sans avoir besoin de matériel supplémentaire. »

En ce qui concerne la programmation, il est conseillé d’apprendre un ou plusieurs langages (Java, Python, Perl, Go, etc) afin d’approfondir davantage vos connaissances, tout en ajoutant une certaine plus value à votre profil. Pour finir, Brian Krebs conseille de s’entourer : l’apprentissage peut être long et fastidieux, il est donc possible que votre motivation baisse au cours de votre parcours. Avoir un groupe de soutien ou un mentor est donc primordial, non seulement pour obtenir des conseils en cas de besoin, mais aussi pour continuer à vous motiver lors de périodes plus difficiles.