L’Observatoire des métiers du numérique présente ses pistes d’actions pour améliorer les formations en cybersécurité

Selon l’Opiiec (Observatoire des métiers du numérique, de l’ingénierie, des études et du conseil et des métiers de l’événement), "les entreprises font face à une pénurie de compétences en cybersécurité, ce qui entraîne une forte demande en formations adaptées aux réalités opérationnelles". L’offre de formation actuelle, initiale et continue, ne semble cependant pas répondre pleinement aux besoins, alors que 25 000 emplois supplémentaires pourraient être créés sur ce créneau d’ici à 2028.

"Face à la montée en puissance des cyberattaques et à leurs impacts croissants, le secteur de la cybersécurité a besoin de talents aux compétences rares et diversifiées", déclare, par voie de communiqué le 26 mai, l’Opiiec. Celui-ci, avec l’appui de l’Opco Atlas, publie une étude visant à identifier les besoins en compétences, en emplois et en formations dans ce domaine.

Selon l’Opiiec, le secteur de la cybersécurité comptait 45 000 emplois en 2024 et devrait représenter 70 000 postes en 2028. "Leur taux de croissance attendu est différent selon les spécialités, mais restera globalement élevé, parfois supérieur à 10 % par an."

Quatre familles de métiers

L’Opiiec identifie quatre grandes familles de métiers de la cybersécurité :

• Gestion de la sécurité et pilotage des projets de sécurité : ces métiers assurent la mise en place de stratégies de cybersécurité adaptées aux risques et aux réglementations. Ils orchestrent la coordination des équipes et des ressources pour garantir une protection optimale (RSSI, DSI) ;
• Conception et maintien d’un SI sécurisé : ces professions nécessitent une veille constante et une forte capacité d’analyse pour anticiper les nouvelles menaces et proposer des solutions adaptées (administrateur réseau, auditeur sécurité SI…) ;
• Détection et gestion des incidents et des crises de sécurité : ces postes assurent la surveillance continue des systèmes et la gestion des incidents. Ils doivent détecter et neutraliser les menaces avant qu’elles n’aient un impact majeur (analystes SOC, responsable du plan de continuité d’activité…) ;
• Conseil, service et recherche : ces métiers veillent à ce que les réseaux, les applications et les architectures soient résilients face aux cyberattaques (DPO, consultant en cybersécurité…).

L’observatoire constate également l’émergence de nouvelles fonctions ou de métiers en forte croissance, parmi lesquels analyste Osint (Open Source Intelligence), cryptologue, Bug Bounty Hunter, développeur IoT/cyber, etc.

"Ces nombreux métiers de la cybersécurité font appel à un vaste éventail de compétences", précise l’observatoire. Outre les expertises techniques comme la maîtrise des infrastructures cloud, l’application des normes (ISO 27001…) ou l’évaluation de la robustesse des systèmes, les soft skills sont également essentielles : capacité à atténuer les incidents, compréhension des activités de l’entreprise, communication efficace sur les enjeux cyber.

Une offre actuelle jugée perfectible

D’où la nécessité d’avoir une offre de formation en cybersécurité pertinente, selon l’Opiiec. On recense actuellement "plus de 900 formations plus ou moins dédiées au sujet, destinées à tous types de publics [incluant les actions de sensibilisation]". Face à cette offre pléthorique, l’enjeu de lisibilité et de développement des certifications devient essentiel.

Mais les entreprises font toujours face à une pénurie de compétences, "ce qui entraîne une forte demande en formations adaptées aux réalités opérationnelles". L’offre actuelle est jugée perfectible par une majorité d’acteurs, tant sur la profondeur technique des enseignements que sur la capacité des formations à offrir une vision systémique du sujet.

Plébiscitées pour maintenir les compétences des professionnels en poste, les formations continues "peinent encore à répondre aux besoins immédiats des entreprises". Certains sujets critiques restent "difficilement accessibles ou insuffisamment couverts". Les formations initiales "demeurent une source essentielle de talents […], mais doivent mieux intégrer les certifications et privilégier des approches plus pratiques afin de répondre pleinement aux attentes du marché".

Parcours de reconversion et mises en situation

L’observatoire distingue plusieurs priorités et pistes d’actions pour la branche, articulées autour de quatre grands enjeux : poursuivre la sensibilisation autour de la cybersécurité ; renforcer l’attractivité des métiers ; faire évoluer et diversifier l’offre de formation initiale ; et en faire autant pour l’offre continue.

L’Opiiec formule plusieurs propositions. Il recommande d’abord de mettre en place des parcours de reconversion vers la cybersécurité pour répondre à la pénurie de talents. Ensuite, il souhaite faciliter "l’accès à des formations modulaires adaptées aux professionnels (e-learning, formations courtes, bootcamps), en instaurant un socle de connaissances commun à toutes les formations".

Il suggère également de proposer des formations adaptées aux différents niveaux de maîtrise en cybersécurité, "avec un parcours de progression et une validation régulière des acquis". Il recommande enfin d’"intégrer des mises en situation pratiques et des exercices de simulation (Red Teaming, gestion de crise cyber) dans les formations continues, selon le principe de l’Afest".

Faire de la cybersécurité une compétence transverse

Il s’agit aussi de promouvoir les certifications (RNCP, ISO) et d’encourager le choix de formations certifiantes. L’Opiiec appelle au développement de formations spécialisées en cybersécurité appliquée aux nouvelles technologies (IA, quantique, IoT…), et à l’enrichissement du catalogue CampusAtlas avec des thématiques comme IoT/5G, cybersécurité quantique, formations pour dirigeants, ou les nouvelles réglementations (directive NIS2, règlement Dora…).

Concernant la formation initiale, l’Opiiec préconise "d’intégrer la cybersécurité dans tous les cursus IT comme une compétence transverse et incontournable" ; de créer des spécialisations au sein des grandes écoles et universités, axées sur des parcours professionnalisants ; de concevoir des formations hybrides (management + cyber, droit + cyber, etc.) ; et d’intégrer des certifications reconnues dès la formation initiale (CEH, ISO 2700X…).

SOURCE : AEF INFO