C. UNE PÉNURIE DE RESSOURCES HUMAINES
1. Une pénurie mondiale de compétences en matière de sécurité informatique
La pénurie de ressources et compétences en matière de cybersécurité est mondiale . Dès lors, ce handicap est particulièrement aggravé pour les TPE PME pour lesquelles la ressource humaine devient pratiquement inaccessible.
Ainsi, 70 % des entreprises dans le monde manquent de spécialistes en sécurité informatique et il faudrait en former 4 millions pour répondre aux besoins du marché , selon une étude récente réalisée avant la pandémie de la Covid-19 113 ( * ) . Cette pénurie est en forte croissance puisqu'une autre étude de 2018 l'estimait à environ 3 millions 114 ( * ) .
Cette pénurie est corroborée par l'étude IT Skills and Salary Report* de Global Knowledge de novembre 2020 115 ( * ) , qui estime que 78 % des décideurs informatiques mondiaux font face à des lacunes critiques en matière de compétences.
Avant la pandémie de la Covid-19, 45 % des entreprises considéraient que le déficit de compétences dans ce domaine s'est aggravé au cours des dernières années, 48 % que la situation n'a pas changé, tandis que 7 % seulement affirmaient que la situation s'est améliorée.
Le manque de candidats qualifiés freine les recrutements et les évolutions de carrière sont quasi-inexistantes après l'intégration dans l'entreprise : 68 % des professionnels de la cybersécurité interrogés ont déclaré qu'ils n'avaient pas de plan de carrière bien défini et peu de perspectives d'évolution dans ce domaine.
Ils peinent aussi bien à trouver un mentor qu'à obtenir des certifications en cybersécurité, ou entreprendre des stages dans ce domaine. En conséquence, les professionnels de la cybersécurité « se débrouillent souvent dans leur carrière sans grande orientation, sautant d'un emploi à l'autre et améliorant leurs compétences à la volée plutôt que de manière systématique ».
L'enquête révèle également que de nombreux salariés travaillent dans la cybersécurité sans disposer de connaissances complètes en la matière. Ainsi, 63 % des répondants ont un parcours professionnel dans cette spécialité qui date de moins de trois ans. Ils sont par ailleurs 76 % à avoir commencé dans l'informatique avant de passer à la cybersécurité. Or, les intéressés estiment qu'il faut entre trois à cinq ans (39 % des réponses) pour développer de véritables compétences en cybersécurité, tandis que 22 % avancent une période située entre deux à trois ans et 18 % affirment que l'acquisition de connaissances dépasse les cinq ans. Pour les employeurs, cela signifie que les professionnels de la cybersécurité de premier niveau doivent être considérés comme des investissements à long terme, et non comme des spécialistes de la résolution immédiate de problèmes.
Enfin, certains cadres exécutifs estiment ne pas avoir d'idée précise de la politique de sécurité informatique de leur entreprise, de sorte que « les RSSI et autres cyber-leaders au sein d'une organisation doivent assumer des rôles de plaidoyers voire de formateurs afin de développer le potentiel de leurs équipes ».
Au déficit de compétences en cybersécurité s'ajoute le fait que les entreprises ne mesurent pas à leur juste valeur l'intérêt de sécuriser l'information.
2. Une pénurie qui aggrave la fragilité des PME en cybersécurité
La France n'échappe pas à cette pénurie mondiale .
En janvier 2020, Pôle Emploi 116 ( * ) comptabilisait 775 577 salariés dans le secteur numérique, dont 58 % dans l'informatique, 19 % dans les télécommunications, 9 % dans l'édition des logiciels ou encore 7 % dans le commerce et l'industrie.
Le numérique s'impose ainsi comme un secteur de recrutement en expansion et dont le taux d'embauche est 2,4 fois plus élevé que dans les autres secteurs. Dans les prochaines années, Pôle Emploi estime que ce sont 191 000 postes qui seront à pourvoir d'ici 2022.
La pénurie en compétences constitue l'une des faiblesses de la cybersécurité également pointée par l'Alliance pour la confiance dans le numérique dans son rapport annuel de 2020 : « bien que la France ne souffre pas de retard en matière de formation à la cybersécurité, la croissance est telle dans ce secteur que les compétences sont difficiles à trouver . Les premières embauches de développeurs spécialisés dans un domaine spécifique de la cybersécurité (PKI, cryptographie, etc.) est quasiment impossible . Les entreprises sont contraintes d'embaucher dans le meilleur des cas des développeurs formés à la cybersécurité dans son ensemble, voire des ingénieurs généralistes qui seront formés en interne ».
La concurrence mondiale est telle que les talents français sont attirés par de meilleures rémunérations à l'étranger, en particulier en matière de deep learning : « les entreprises françaises (en particulier les PME), ont du mal à s'aligner sur les salaires offerts par les grands acteurs américains qui proposent en général des salaires supérieurs de 10 % à 30 % à compétences égales ».
L'observatoire de la Grande école du numérique (GEN) a pour sa part analysé, en février 2021, les besoins en compétences numériques dans les 13 régions de la France métropolitaine 117 ( * ) . L'étude souligne que, malgré un nombre de projets de recrutements importants sur les métiers numériques, « les régions peinent à recruter : entre 60 % et 80 % des recrutements sont jugés difficiles dans ces métiers dans l'ensemble des régions », alors même que ces métiers sont porteurs : « ce sont les métiers de Développeur (fullstack, devOps), Technicien télécom et Chef de projet web qui se retrouvent sur le podium des métiers recherchés, suivis par le Digital business developper et l'Installateur réseaux ».
Cette pénurie constitue une puissante incitation à externaliser la gestion des bases de données et, plus globalement, la cybersécurité de l'entreprise.
* 113 Étude conduite par l'Enterprise Strategy Group et l'Information Systems Security Association (ISSA) auprès de 327 professionnels du domaine (principalement basés en Amérique du Nord) entre fin 2019 et début 2020. Cette enquête est toutefois essentiellement nord-américaine : 92 % des répondants à l'enquête résidaient en Amérique du Nord, 4 % venaient d'Europe, 3 % d'Asie et 1 % d'Amérique centrale et du Sud.
* 114 ONG de professionnels de la sécurité chargée de certifier des professionnels de la sécurité de l'information , en fournissant les certifications SSCP et Certified Information Systems Security Professional (CISSP).
* 115 Étude construite sur les réponses de plus de 9 500 professionnels de l'informatique dans 159 pays.
* 116 « Les métiers du numérique : quelles opportunités d'emploi ? », Pôle Emploi, janvier 2020.
* 117 « Les besoins en compétences numériques dans les régions » - 4 février 2021.