Quel lien y a-t-il entre le groupe hôtelier Marriott, le site français de cagnottes en ligne Leetchi, la compagnie aérienne Easyjet, Microsoft, la ville de Toulouse, de Marseille, l’académie Orléans-Tours, l’Organisation Maritime Internationale, les armateurs Maersk et CMA-CGM, la société de classification DNV-GL ? Tous ont été victimes de cyberattaques en 2020. La liste n’est pas exhaustive et nous ne sommes pas encore en 2021…
D’après une étude de PwC de 2018, 65% des dirigeants ignorent où sont leurs données et seul un tiers d’entre eux est investi sur le sujet de la cybersécurité. En 2017, le coût moyen des cyberattaques a été évalué à 3,62 milliards $ par le World Economic Forum. Ce coût devrait dépasser la barre des 6 milliards en 2021 et représenter 0,11% du PIB français. Si les budgets consacrés à la cybersécurité ont drastiquement augmenté, les moyens alloués restent encore en deçà du nécessaire requis.
Etant devenue un enjeu stratégique, la cybersécurité recrute. Le nombre d’emplois en sécurité informatique augmenterait de 7% en France. Le marché mondial est évalué à 170 milliards $ (Cybersecurity Ventures). 3,5 millions d’emplois ne seront pas pourvus d’ici 2022 contre 1 millions de postes en 2014. Les postes de cybersécurité ouverts de 2013 à 2022 auront, ainsi, bénéficié d’une croissance de 350%. Rien qu’en France, l’APEC a constaté un doublement des offres d’emplois de consultants en cybersécurité entre 2016 et 2018. En 2021, 5 000 à 10 000 postes seront à pourvoir.
Dans ces conditions, qu’en est-il des formations en la matière ? En 2013, le livre blanc de la défense a demandé à l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Informations) de s’investir pour augmenter le nombre de professionnels de cybersécurité en France. La dernière étude sérieuse comptabilisait près de cent cinquante formations en 2017, aboutissant à des diplômes de bac +3 à bac +5. Ces formations sont, dans leur immense majorité, techniques. Or, la cybersécurité acquiert peu à peu ses lettre de noblesse et est désormais intégrée dans la stratégie globale des entreprises : enjeux managériaux, financiers, juridiques, stratégiques…
L’ANSSI, via SecNumEdu, attribue son label aux formations qui consacrent au moins 70% de leurs temps à la cybersécurité. Elle favorise également, via CyberEdu, l’enseignement de la cybersécurité dans l’ensemble des formations informatiques. C’est ainsi que de nombreuses écoles et universités ont développé des formations en la matière : INSA Lyon, Telecom Sup Paris… Des formations ont même vu le jour en matière de cybersécurité maritime : IMT Atlantique-ENSTA Bretagne-Ecole Navale-ENSM, Chaire de cyberdéfense.
Malheureusement, les formations dédiées, même partiellement, au management de la cybersécurité, comme à l’EM Normandie, sont rares. De nombreuses écoles enseignent l’Intelligence Economique, dans laquelle la cybersécurité est abordée, mais trop succinctement. Sans cesse, les experts de l’ANSSI, de l’IHEDN (Institut des Hautes Etudes de Défense Nationale), de la DGA (Direction Générale de l’Armement) rappellent la nécessité d’une sensibilisation massive, du développement d’une hygiène de la cybersécurité.
La cybersécurité n’est pas uniquement affaire de technologie et de techniciens ; elle est intimement liée à l’humain. Le renforcement du tissu économique français face à ce phénomène ne sera fera pas sans sa prise en compte par les dirigeants et l’ensemble de la chaîne managériale. Cela suppose des formations au management de la cybersécurité en nombre suffisant ; à la CGE et aux Ecoles de management de s’emparer de ce chantier.
