NIS2, REC et DORA : ces directives et ces règlements européens, visant à harmoniser le niveau de cybersécurité des entreprises à l’échelle du continent, sont très attendus par le secteur numérique, et font l’objet d’un projet de loi du gouvernement présenté le 15 octobre. NIS2, qui s’applique depuis le 17 octobre, doit en effet être transposée en droit français.
« Ces nouvelles législations vont poser une nouvelle feuille de route avec une notion d’amende et un risque pénal pour les dirigeants, ce qui va obliger notamment près de 15 000 PME et collectivités à monter en compétences sur le sujet et recruter pour s’y conformer », explique Benoît Fuzeau, président du Clusif, une association qui promeut la sécurité numérique.
C’est peu de dire que les entreprises manquent cruellement de compétences pour analyser les risques et répondre aux attaques de leurs systèmes d’information. « Environ 15 000 professionnels manquent en cybersécurité, alors que c’est un secteur avec 30 000 à 35 000 professionnels en poste aujourd’hui », illustre Nolwenn le Ster, présidente de la commission cybersécurité de Numeum, syndicat patronal du numérique.
Diversification très rapide
Ces difficultés s’expliquent notamment par la diversification très rapide des métiers du secteur. La plupart des formations peinent à suivre les besoins des entreprises. « On pense trop ingénieur, technique, mais ce n’est pas toujours le cas. Il n’y a pas besoin d’être un expert pour piloter la politique cyber d’une entreprise, pour faire de la conformité », décrit Benoît Fuzeau.
A titre d’exemple, les métiers techniques de pentester – qui consistent à contrôler la sécurité d’une application ou d’un système – ou de « hacker éthique », qui font l’image du métier auprès du grand public, ne concernent que « 2 % ou 3 % de l’activité », selon Guillaume Collard, cofondateur de la CSB School. Ils sont, pour la plupart d’entre eux, en voie d’automatisation.
Cette école s’est spécialisée sur la gouvernance pour répondre à ce besoin croissant de profils moins « experts ». Comme il est devenu difficile d’éviter toute attaque, il faut dorénavant des profils pour réagir une fois que l’incident a eu lieu : « 50 % de nos diplômés ont une posture de management et sont proches des autres métiers, explique M. Collard. Il y a des anciens juristes qui viennent se former, se spécialisent dans nos métiers. Ça devient une nouvelle fonction support obligatoire pour les boîtes, une sorte de médecin généraliste qui a une vue d’ensemble. »
Il vous reste 52.22% de cet article à lire. La suite est réservée aux abonnés.
