Quelles études suivre pour travailler dans la cybersécurité ?

jeudi 23 janvier 2020, par Jean-Philippe Gaulier

J’ai le plaisir de rencontrer régulièrement des lycéens, parents d’élèves ou personnes en reconversion qui me posent cette même et constante question : quelles études ou formation dois-je suivre pour devenir expert en cybersécurité ?

Personnellement, il m’est difficile de définir la notion d’expert, je ne crois d’ailleurs pas que l’on puisse être expert en quoi que ce soit à la fin de ses études, si ce n’est éventuellement après un doctorat, et encore. L’expertise demande d’assimiler des d’informations pendant des années (publications scientifiques, livres, standards, articles, vidéo…) et de beaucoup pratiquer, afin de se confronter à la réalité. C’est cela que l’on appelle l’expérience. Je préfère reformuler plus simplement la question : quelles études dois-je suivre pour travailler dans la cybersécurité ?

Il y a, à mon sens, trois grandes catégories d’emploi dans ce secteur : l’organisationnel, le fonctionnel et la technique. Chaque catégorie nécessite un traitement particulier, mais un élément me semble commun à chacune d’entre-elles : la passion. Un proverbe attribué à Confucius dit

« Choisis un travail que tu aimes et tu n’auras pas à travailler un seul jour de ta vie »

Il me semble totalement adapté à ce métier, lequel nécessite d’apprendre tous les jours, de se remettre en question et de maîtriser des concepts difficiles. C’est bien simple, chaque jour qui passe ne fait que renforcer notre (mon ?) syndrome de l’imposteur. En effet, mes réalisations s’appuient essentiellement sur le talent des autres. Dans le développement logiciel par exemple, les langages, bibliothèques et frameworks réalisent pratiquement tout sans mon assistance. Du côté de l’administration système, on automatise et vérifie les configurations pour moi. Dans l‘audit enfin, les standards me prémâchent le travail et les outils effectuent une bonne partie du boulot. Bref, mon mérite est quelque peu tronqué et je n’ai qu’une bien maigre connaissance de tous les sujets que je pourrais aborder.

Dans un autre registre, il faut bien dire que notre entourage nous perçoit parfois comme étant un peu paranoïaques. Rétablissons une vérité : ce n’est pas vrai ! Il nous faut, certes, douter constamment de notre savoir et nous remettre en question. Il nous faut aussi ne considérer personne comme étant de confiance - pas même nous-mêmes – et être très efficaces en matière de protection tout en restant pragmatiques. Edward Snowden a œuvré plus que quiconque à ce sujet en révélant au grand jour les travaux de la NSA, confirmant les mises en garde des professionnels du domaine. Nous n’étions en fait pas du tout paranos, même si on peut parfois comprendre cette rélfexion.

Ce n’est pas l’évolution de l’informatique ou de la "transformation digitale" comme le scandent le marketing et la grande majorité des médias qui va infléchir cela. Lorsque j’ai suivi mes études d’informatique, l’intégralité de l’arbre javascript tenait sur une page A4. Aujourd’hui, il me faudrait plusieurs mois pour espérer maîtriser correctement ce langage, à tel point qu’il existe des spécialistes front-end, back-end et fullstack... L’ANSSI a par ailleurs réalisé un gros travail et essayé d’opérer un découpage dans les métiers de la cyber, celui-ci n’en reste pas moins un point de vue à un moment donné. Vous l’aurez compris, s’il y avait une réponse simple et une voie royale, cela ne mériterait probablement pas un billet...

Je mentionnais plus tôt que la qualité principale, de mon point de vue, est avant tout d’être passionné. Cette passion permet de réussir sans forcément avoir de diplôme. Avec du recul, particulièrement en France, je ne peux cependant que recommander de renforcer cette passion par des études. Cela vous permettra d’apprendre la rigueur, le travail en groupe, de découvrir vos forces et vos faiblesses dans un environnement bienveillant, là où le monde du travail ne laisse pas le temps d’expérimenter.

Bref, après cette courte introduction, voici quelques préconisations pour toute personne qui souhaite travailler ou se reconvertir dans la cybersécurité.

La curiosité intellectuelle semble être un premier élément allant de pair avec la passion. En effet, il faut sans cesse se remettre à l’ouvrage et chercher à comprendre, challenger ses acquis, se confronter à ses pairs, partager sa compréhension. Cela demande abnégation et humilité. Plus on apprend, moins on a l’impression de savoir. Je rencontre de temps à autres de jeunes collaborateurs fraîchement émoulus d’école d’ingénieur qui, pendant trois ans, ont effleuré une trentaine de matières allant des maths au marketing, en passant par la programmation. Adoubés de leur diplôme, ils battent fièrement la campagne en criant à tue-tête combien ils valent des dizaines de milliers d’euros parce qu’ils ont fait telle ou telle école. Si j’en ai vu un certain nombre avoir quelques bonnes notions, peu sont les élus qui avaient été préparés à la réalité de l’entreprise : retour sur investissement, implication, résultat, délais, entre-soi, technicité, intégration des process...

Je crois que l’école d’ingénieur est une excellente voie pour apprendre à apprendre et apprendre à produire. Je reste convaincu que c’est un bon cursus, pas foncièrement que cela forme spécifiquement à ce que l’on doit faire. C’est pour cela, que pour les métiers techniques dont je suis issu, j’ai plutôt tendance à recommander de suivre un cursus spécialisé en informatique, que ce soit dans le développement ou l’administration système ou réseau, afin d’obtenir un maximum de connaissances et d’automatismes techniques qui serviront au quotidien. Cela permet aussi de découvrir des normes techniques et de décortiquer les implémentations. On pourra ainsi comprendre l’état de l’art et chercher à l’atteindre.

Dans ces conditions, nous aurons alors un excellent développeur ou administrateur, qui, intégrant au maximum une vision qualitative dans sa production, réduira la surface d’attaque, c’est-à-dire qu’il exposera au strict minimum ce qui a besoin de l’être. Ce faisant, il pourra aisément détecter les biais dans les productions qui lui seront présentés et fera donc un excellent auditeur technique.

Je ne pense pas qu’il soit raisonnable de considérer qu’un étudiant tout fraîchement gratifié de son diplôme soit un bon candidat à la chefferie de projet. Cela demande des qualités d’organisation, de management, d’anticipation, de gestion financière et de diplomatie auxquelles peu d’écoles, surtout techniques, ont la capacité de former. Sans compter que pour pouvoir diriger et planifier des actes techniques, il sera toujours plus facile de les avoir au préalable pratiqués. Beaucoup de jeunes diplômés qui commencent dans la cybersécurité l’attaquent par le biais du conseil, entre autres sur les aspects de conformité ou de certification au standard ISO 27001 ou encore par celui de la politique de sécurité. Personnellement, je compare cela à la chefferie de projet. Je pense qu’il faut de la séniorité, du recul, de la compétence juridique, financière ainsi que de la compréhension des intérêts et contraintes métier. Bref, de nombreuses choses que l’on ne peut apprendre que par l’expérience. On tombera sinon dans la caricature du conseiller qui vous donne l’heure en regardant votre montre.

La troisième fonction, organisationnelle, me paraît exiger encore d’avantage. En effet, elle concentre selon moi les bénéfices et efforts nécessaires aux deux autres catégories. On parle ici de responsable de la sécurité du système d’information, manager d’équipe, etc. Des personnes qui sont redevables de la mission qui leur est confiée dans le cadre de l’entreprise car son impact est amplifié par sa nature même. En tant que directeur, responsable ou manager, on répercute ses actions ou ses choix dans tout ou partie de l’entreprise. Là encore, l’expérience permettra d’aiguiller dans le bon sens, d’utiliser son réseau, d’avoir des réponses pertinentes, de piloter en ayant en tête des objectifs bien clairs et apportant des axes d’améliorations notables et circonstanciés.

Si je connais de nombreuses personnes qui sont uniquement techniques ou fonctionnelles, voire organisationnelles, cela n’en fait pas des mauvais profils. On apprend avec le temps et l’expérience et on se spécialise en fonction de ses envies et des opportunités de la vie. Maintenant, de là à être un expert dans un domaine aussi vaste et pointu que la cybersécurité, je ne suis toujours pas sûr d’être en capacité de dire si tel ou tel est un expert ou pas. On dirait bien que cette notion nécessitera un autre article.

Si je dois ici résumer mon propos : suivez un bon cursus en informatique, bien solide techniquement. Si avec votre diplôme vous en avez encore la possibilité, faîte une année supplémentaire de spécialisation en cybersécurité pour découvrir les termes et us consacrés du métier, puis lancez-vous. De toutes façons, cela vous demandera beaucoup d’expérimentation par vous-même, de la lecture, de la recherche. N’hésitez pas à vous baigner dans des associations comme l’OSSIR, à déposer votre code en ligne et à le confronter. Trouvez un mentor. Entraînez-vous, exercez-vous. Doutez. En tout cela, vous serez sur la bonne voie, celle de la satisfaction du travail accompli.