Malgré l’intensification des cybermenaces, le secteur de la cybersécurité peine à recruter suffisamment de spécialistes pour répondre aux besoins croissants des entreprises. Cette pénurie de talents expose les organisations, en particulier les PME, à des risques majeurs. Analysons ensemble les causes profondes de ce déficit de compétences et les initiatives pour y remédier.
L’ampleur de la pénurie de talents en cybersécurité
Un écart persistant entre l’offre et la demande
En 2021, l’ISC2 estimait qu’il aurait fallu augmenter de 65% le nombre de spécialistes en cybersécurité pour couvrir les besoins à l’échelle internationale. Malgré une légère amélioration, le nombre de postes non pourvus dans le monde reste considérable, passant de 3,12 millions à 2,72 millions en un an.
Cet écart entre l’offre et la demande met en évidence la difficulté pour les entreprises de trouver les compétences nécessaires pour protéger efficacement leurs systèmes et données face à la multiplication des menaces cyber. Les PME sont touchées par ce déficit de talents, alors même qu’elles constituent des cibles de choix pour les cybercriminels.
Prenons l’exemple d’une PME de 150 employés spécialisée dans le développement de logiciels SaaS. Malgré sa volonté de renforcer son équipe de sécurité informatique, elle peine à attirer des profils qualifiés, faute de pouvoir rivaliser avec les packages salariaux des grands groupes. Cette situation l’expose à des risques de cyberattaques, pouvant compromettre la continuité de son activité et la confidentialité des données de ses clients.
Des milliers d’emplois non pourvus en France
Le constat est alarmant en France, où environ 15 000 postes sont disponibles mais non couverts dans le secteur de la cybersécurité. Cette pénurie de spécialistes expose les organisations hexagonales à des risques, dans un contexte de numérisation accélérée et de sophistication des attaques.
Pour les PME françaises, qui représentent 99,9% des entreprises et emploient près de la moitié des salariés, cette situation est préoccupante. Elles doivent en effet composer avec des ressources limitées tout en faisant face à des enjeux de sécurité informatique de plus en plus complexes. L’accès à une expertise cyber adaptée à leurs besoins spécifiques est donc un défi pour ces entreprises.
Imaginons une PME industrielle de 80 personnes, dont le cœur de métier repose sur des procédés de fabrication confidentiels. Ne disposant pas des compétences cyber en interne, elle se trouve démunie lorsqu’elle subit une tentative d’intrusion sur son réseau. Faute d’avoir pu détecter et contrer l’attaque suffisamment tôt, elle voit ses données stratégiques dérobées par un concurrent malveillant, mettant en péril son avantage concurrentiel.
Saviez-vous qu’en France, environ 15 000 postes sont disponibles mais non couverts dans le secteur de la cybersécurité selon Wavestone ?
Les facteurs aggravants de cette pénurie
Des stéréotypes persistants
La méconnaissance des métiers de la cybersécurité et les stéréotypes tenaces qui y sont associés contribuent à la pénurie de talents. Selon Frédéric Bardeau, cofondateur de Simplon.co, “il est temps de sortir du cliché du hacker en sweat à capuche”, qui occulte la grande variété des profils et des niveaux de qualification requis dans ce domaine.
Cette perception réductrice freine l’orientation des jeunes vers ces métiers porteurs de sens et d’opportunités. Elle complique également la tâche des recruteurs, y compris au sein des PME, qui peinent à identifier précisément leurs besoins en compétences cyber faute d’une vision claire des différentes fonctions et expertises.
Prenons le cas d’une responsable RH dans une PME de services numériques. Chargée de recruter un spécialiste en sécurité informatique, elle se retrouve perdue face à la diversité des intitulés de poste et des compétences techniques requises. Ne sachant pas distinguer un ingénieur sécurité réseau d’un analyste SOC, elle éprouve des difficultés à rédiger une offre d’emploi pertinente et à sélectionner les bons profils.
Un monde masculin
Le manque de diversité, notamment en termes de genre, est un autre facteur aggravant de la pénurie de compétences en cybersécurité. En France, les femmes ne représentent que 27% des effectifs dans l’informatique et 11% dans la cybersécurité. Selon Thymiane Rizzardo-Bancel de Tanium, ces problèmes sont liés à des barrières culturelles et éducatives subtiles mais omniprésentes.
Pour transformer l’industrie et élargir le vivier de talents, il est essentiel d’encourager davantage de femmes et de profils issus de la diversité à intégrer le secteur. Cela passe par des actions de sensibilisation dès le plus jeune âge, la lutte contre les stéréotypes de genre et la mise en avant de role models inspirants. Les PME ont un rôle clé à jouer en promouvant activement l’inclusion et l’égalité des chances dans leurs équipes cyber.
Illustrons ce point avec l’exemple d’une étudiante passionnée d’informatique. Malgré son intérêt en matière de cybersécurité, elle hésite à s’orienter vers cette filière, craignant de ne pas y trouver sa place dans un univers qu’elle perçoit comme majoritairement masculin. L’intervention d’une spécialiste lors d’une conférence sur les métiers du numérique lui ouvre de nouvelles perspectives : en découvrant le parcours inspirant de cette experte, elle prend conscience que la cybersécurité est aussi une voie d’avenir pour les femmes.
Les initiatives en faveur de la diversité se développent d’ailleurs au sein de l’écosystème : plus de deux tiers des entreprises de cybersécurité encouragent déjà le recrutement de femmes et de minorités via des dispositifs dédiés. Ces efforts doivent s’intensifier pour faire tomber les barrières à l’entrée et attirer une plus grande variété de profils vers ces métiers d’avenir.
Thymiane Rizzardo-Bancel, Tanium : “Ces problèmes sont difficiles à résoudre en raison de leur subtilité et de leur omniprésence : ils sont liés à la culture et à l’éducation. La seule façon de transformer l’industrie est d’encourager davantage de femmes d’y entrer et de faire tomber ces barrières.”
L’impact sur les entreprises
Une situation préoccupante chez les PME
Le déficit de compétences en cybersécurité a des conséquences directes sur la sécurité des entreprises. Selon une étude de Fortinet, 80% des organisations ayant subi un incident de sécurité l’attribuent à un manque de compétences internes. Cette vulnérabilité est accentuée par les difficultés à recruter (60% des entreprises) et à retenir les talents (52%).
Pour les PME, souvent moins armées que les grandes entreprises pour attirer et fidéliser les experts en cybersécurité, cette situation est alarmante. Elles sont de fait plus exposées aux risques de fuites de données, d’interruption d’activité ou de dommages réputationnels liés aux cyberattaques. Investir dans la montée en compétences des équipes et dans des solutions de sécurité adaptées à leur taille est donc un impératif pour ces entreprises.
Prenons l’exemple d’une PME de e-commerce qui peine à recruter un responsable sécurité des systèmes d’information. Malgré des recherches de plusieurs mois, elle ne parvient pas à attirer de candidat disposant à la fois des compétences techniques requises et d’une bonne compréhension des enjeux métiers. Cette carence se traduit par des failles de sécurité persistantes sur son site web, à l’origine de plusieurs incidents ayant affecté la disponibilité de sa plateforme et la confiance de ses clients.
Par ailleurs, la pénurie de talents a un effet délétère sur les conditions de travail et la motivation des professionnels en poste. Selon une enquête du cabinet Vanson Bourne, 33% des spécialistes cyber en France envisagent ainsi de changer de métier prochainement, contribuant à aggraver le déficit de compétences.
Une PME du secteur bancaire voit ainsi partir l’unique analyste sécurité de son équipe IT, épuisé par une charge de travail trop lourde et un manque de perspectives d’évolution au sein de la structure. Pour le remplacer, elle est contrainte de faire appel à un prestataire extérieur, faute de pouvoir proposer un poste attractif en interne dans un délai raisonnable. Cette situation génère des surcoûts et un manque de maîtrise sur un pan essentiel de sa sécurité informatique.
Le contexte géopolitique
L’impact de la pénurie de talents en cybersécurité est exacerbé par le contexte géopolitique instable et la recrudescence des cyberattaques étatiques ou sponsorisées. Selon une étude du CESIN, 60% des entreprises craignant une aggravation de la menace cyber dans le cadre de conflits internationaux ont déjà durci ou transformé leurs dispositifs de sécurité, et 15% sont en cours de le faire.
Face à la cyberguerre, c’est l’ensemble des professions qui doivent repenser leur approche de la sécurité informatique. Pour les PME, cible de choix en raison de leur rôle dans la chaîne de valeur, la priorité est de renforcer leur résilience et leur capacité à détecter et contrer des attaques de plus en plus sophistiquées. Cela passe par une sensibilisation des collaborateurs, mais aussi et surtout par l’accès à une expertise cyber de haut niveau, en interne ou via des partenaires de confiance.
Illustrons cela avec le cas d’une PME sous-traitante de l’industrie de défense. Suite à une campagne de phishing ciblée, un de ses ingénieurs a ouvert par mégarde une pièce jointe malveillante, offrant aux attaquants un point d’entrée sur le réseau de l’entreprise. En l’absence d’un dispositif de détection des menaces et de réponse aux incidents suffisamment mature, l’intrusion est passée inaperçue pendant plusieurs semaines, laissant aux assaillants le temps d’exfiltrer des informations confidentielles vers un serveur étranger.
Dans ce contexte, les offres de services managés et les solutions clés en main spécialement conçues pour répondre aux enjeux de sécurité des PME apparaissent comme des alternatives crédibles pour pallier le manque de ressources et de compétences. Elles permettent à ces entreprises de bénéficier d’une protection globale et experte, couvrant leurs infrastructures, leurs applications cloud, leurs employés et leurs données critiques.
Type d’entreprise | Enjeux de cybersécurité | Solutions adaptées |
---|---|---|
PME de services numériques | Protection des données clients et de la propriété intellectuelle | Offre de sécurité managée couvrant l’infrastructure, le cloud et les postes de travail |
PME industrielle | Sécurisation des systèmes de production et des procédés confidentiels | Audit de sécurité industrielle et mise en conformité des équipements |
PME de e-commerce | Disponibilité de la plateforme de vente en ligne et sécurité des transactions | Protection anti-DDoS et chiffrement des données de paiement |
PME sous-traitante de l’armement | Prévention de l’espionnage industriel et protection du secret défense | Segmentation réseau avancée et contrôle strict des accès |
Les opportunités pour remédier à la situation
Un secteur qui se mobilise
Face à l’ampleur de la pénurie, des initiatives de formation émergent pour attirer de nouveaux profils vers les métiers de la cybersécurité et répondre aux besoins criants des entreprises. C’est notamment le cas du Campus Cyber, qui réunit tous les acteurs de la filière, ou encore de partenariats innovants entre écoles et entreprises.
Microsoft et Simplon ont ainsi lancé l’École Cyber Microsoft by Simplon, qui vise à former dès sa première année une centaine de demandeurs d’emploi aux métiers de la sécurité informatique. Ces initiatives sont essentielles pour élargir le vivier de talents, tout en veillant à l’adéquation des compétences avec les attentes du marché et les besoins concrets des PME.
Prenons l’exemple d’un étudiant en reconversion professionnelle, passionné par l’informatique mais sans expérience dans le domaine de la cybersécurité. Grâce à un programme de formation accéléré en partenariat avec des entreprises, il acquiert en quelques mois les compétences techniques et opérationnelles recherchées par les recruteurs. Son profil atypique et sa motivation attirent l’attention d’une PME en pleine transformation numérique, qui lui propose un poste de chargé de sécurité des systèmes d’information.
Sensibiliser la population
Au-delà des formations, il est urgent de sensibiliser plus largement le grand public aux enjeux de la cybersécurité pour susciter des vocations. Comme le souligne Philippe Trouchaud, il y a “encore un immense effort de compréhension des risques cyber à faire” et “nous devons créer une culture de sûreté numérique dans l’Hexagone”.
Une grande campagne de sensibilisation auprès du grand public apparaît nécessaire pour acculturer la population à ces problématiques et valoriser l’impact positif des métiers de la cybersécurité sur la société. Selon Nolwenn Le Ster, “nous avons un devoir de faire élever le niveau moyen de maturité du pays sur le sujet, pour le bien commun”. Les pouvoirs publics, les entreprises et les associations ont un rôle central à jouer dans cette prise de conscience collective.
Pour les PME, participer à cet effort de sensibilisation est aussi un moyen de se démarquer comme employeur responsable et de renforcer leur marque employeur dans un contexte de pénurie.
La pénurie de talents en cybersécurité est un enjeu de taille pour les entreprises et en particulier les PME. Les causes sont multiples : manque de sensibilisation aux métiers du secteur, stéréotypes tenaces, déficit de diversité, notamment en termes de genre. Les conséquences sont lourdes : vulnérabilité accrue aux cyberattaques, difficulté à recruter et fidéliser les experts, dégradation des conditions de travail des professionnels en poste. Face à ce constat alarmant, le secteur se mobilise avec des initiatives de formation innovantes pour attirer de nouveaux profils et répondre aux besoins criants des entreprises. Quoi qu’il en soit, l’avenir de la cybersécurité passera par une mobilisation collective du secteur public, des acteurs économiques et des citoyens. C’est à ce prix que nous pourrons combler le déficit de talents et assurer la résilience de notre économie numérique face aux menaces grandissantes.