Focus sur la cybersécurité

Avec 8 000 postes, la Bretagne est la deuxième région de France en termes d’emploi en cybersécurité. La multiplication des usages et des équipements numériques ont conduit à une hausse importante des cyberattaques. En conséquence, les besoins en personnels qualifiés en sécurité informatique explosent. Emploi, recherche, formation, la Bretagne constitue une des principales région cyber en France. Des institutions importantes y sont installées, notamment dans la métropole rennaise (Direction générale de l’armement, Commandement de la cyberdéfense, Agence nationale de la sécurité des systèmes d'information, etc.) mais aussi de grands groupes (Orange, Airbus, Thalès, etc.) et des start-up.
 

Les chiffres clés

Infographie cyber
Cybersécurité en Bretagne - chiffres clés

Doit-on forcément être militaire ?

Non, il n’est pas obligatoire d’être militaire pour travailler dans la cybersécurité, loin de là. En Bretagne, on compte 8 000 emplois dans le secteur, qui sont majoritairement occupés par des civils. Au sein même de l’armée, un quart des personnels en cyber sont des civils. Le secteur est composé d’une grande variété de structures : grands groupes, start-up, PME, etc.

Doit-on faire de longues études ?

Dans une enquête menée en 2021, l’Anssi (Agence nationale de la sécurité des systèmes d'information) constate que « plus des trois quarts des professionnel·les possèdent un diplôme ou un niveau de qualification supérieur ou égal à bac+5 ». Même constat au groupement de cyberdéfense des armées même si la situation évolue peu à peu : « nous avons beaucoup d’ingénieur·es mais nous recrutons de plus en plus de bac +2 ou +3 avec l’ambition de les former en interne », affirme le colonel Pierre-Arnaud Borrelly, ex-commandant du groupement de cyber-défense des armées. Pour Vivien Bernet-Rollande, directeur technique de CT-Square, qui fournit des services cyber aux PME et ETI, « il n’y a pas assez d’ingénieur·es sur le marché de l’emploi. Le meilleur moyen de résoudre ce problème est d’avoir des ingénieur·es seulement pour fournir des outils et des procédures qui vont permettre à d’autres gens de les mettre en place ». 

Y-a-t’il beaucoup de femmes dans la cybersécurité ?

Selon l'Anssi, les femmes sont très minoritaires dans la cybersécurité où elles représentent à peine 11% des effectifs.  Le programme « Cadette de la cyber » mené par le Pôle d’excellence cyber, vise à encourager les femmes à rejoindre ce secteur.

Est-ce un secteur qui recrute beaucoup ?

Les embauches augmentent d’année en année mais le secteur peine à trouver suffisamment de candidat·es. Au niveau des pouvoirs publics, les recrutements sont au vert : l’armée souhaite passer de 800 personnes en 2019 à 1700 personnes en 2025, le budget prévu par la loi de programmation militaire est en forte hausse, l’Anssi a installé une antenne à Rennes, etc.  Le secteur privé n’est pas en reste avec la présence de grands groupes (Orange, Airbus, Thalès, etc.), de start-up et de pépinières spécialisées. Au total, cela représente 160 entreprises pour la région.

L’IA bouleverse la cybersécurité

L'intelligence artificielle (IA) va augmenter le nombre et la sophistication des menaces potentielles. « Cela va permettre l’automatisation d'un certain nombre de tâches pour mener des attaques », explique Laurent Dubau, manager chez Orange Cyberdefense pour la région Grand ouest. Des mécanismes permettent ainsi d’usurper des identités, notamment en imitant une voix ou un visage. « L’usurpation d’identités est le levier principal qu'utilisent des pirates pour s'introduire dans des systèmes d'information. Ça représente les trois quarts des vecteurs d'attaques. Cela peut être par exemple pour se faire passer pour un directeur financier qui demande un virement qui n'est pas légitime à un comptable », poursuit-il. Même son de cloche pour le Colonel Pierre-Arnaud Borrelly, ex-commandant du groupement de cyberdéfense des armées et délégué général du pôle d’excellence cyber. « La question de la certification des identités des acteurs se pose. On voit bien les conséquences que cela peut avoir si c’est une proposition commerciale, un discours politique, un appel à la violence », poursuit-il. 
Mais l’IA peut également être un allié efficace : « Nous utilisons l’intelligence artificielle pour faire évoluer nos outils face à la masse de données que nous avons à traiter et face à l’évolution de la menace qui est exponentielle », explique le Colonel Pierre-Arnaud Borrelly. Plus généralement, les nouveaux outils grands publics tels que Chat GPT ou le métavers, etc.) représentent de nouveaux enjeux. 
 

Objets connectés et cloud générateurs de nouvelles menaces

Les objets connectés sont de plus en plus courants dans notre quotidien. Selon le cabinet de tendances WGSN (Worth global style network), il pourrait y en avoir 50 milliards sur le marché en 2030. « La sécurité aujourd’hui dans le domaine des objets connectés est du niveau de ce qu’on avait sur les autres systèmes dans les années 90’. Le fait de connecter tout et n’importe quoi sur internet peut présenter des risques importants », explique Vivien Bernet-Rollande, directeur technique de CT-Square, qui fournit des services cyber aux PME et ETI. « Ces objets sont parfois fabriqués dans des pays tiers qui n'ont pas forcément les mêmes exigences en termes de cybersécurité que nous. S’ils sont mal sécurisés, ils se révèlent très intéressants pour les pirates car ils peuvent être pris en contrôle à distance pour mener des attaques en déni de service », explique Laurent Dubau.

Comprendre l'attaque en déni de service

Les services à distance appelés software as a service (SaaS), sous-catégorie du cloud, se sont eux-aussi multipliés ces dernières années. « Les entreprises externalisent de plus en plus d’informations via le transfert de fichiers, par exemple sur des plateformes numériques. Ça génère beaucoup de nouvelles menaces », selon Laurent Dubau. Vivien Bernet-Rollande renchérit : « Quand les données sont hébergées chez quelqu’un d’autre, c’est difficile de mettre en place des capacités de détection. Certains hébergeurs proposent ce type de fonctionnalité mais c’est encore très loin d’être la majorité. »

La place des start-up dans la cyberdéfense

 « L’innovation dans la cyberdéfense, c’est la part grandissante que prennent les start-up. Elles bénéficient de financements français, ce qui permet de bénéficier de solutions françaises qui sont contrôlées et contrôlables », selon le colonel Pierre-Arnaud Borrelly. Au total, plus de 160 start-up dédiées à la cybersécurité existent en France. Et comme le note le cabinet de conseil Wavestone, « l’écosystème cyber se délocalise progressivement en région avec Lille et Rennes en tête ».

Une augmentation des moyens de l’armée

Les dépenses que l'État français consacre aux forces armées sont décidées par la loi de programmation militaire. Pour la période 2019-2025, 1,6 milliards ont été consacrés à la cyberdéfense, ce qui a permis de faire grossir les équipes. « En 2019, nous étions environ 800 en Bretagne, en 2025, on sera 1700 », explique le Colonel Pierre-Arnaud Borrelly. La prochaine loi de programmation vient d’être votée avec un budget largement supérieur dédié à la cyber : 4 milliards d’euros. « L’évolution attendue est des recrutements encore à la hausse, des efforts aussi sur le nombre et la qualité des formations et de nombreux moyens à financer en particulier dans le domaine du chiffre. ». 

Règlementations : après le RGPD, voici NIS 2

Les exigences réglementaires ont augmenté en quelques années, notamment avec le RGPD (Règlement général sur la protection des données). La prochaine étape sera la traduction d’une directive européenne appelée NIS 2 (Network Information Security). « Elle demande à un certain nombre d’acteurs de se sécuriser. Ça aura un impact sur les organisations car le suivi de la conformité, l’identification des systèmes essentiels et les mesures de protection nécessiteront des ressources supplémentaires. Cette directive va demander des plans de programmation, et parfois des travaux d’homologation », affirme Laurent Dubau.

Le développement des EDR 

L’EDR (Endpoint detection and response) a connu un développement important ces dernières années. « En gros, il s’agit de la génération d’après l’anti-virus. Là où ce dernier a pour mission de détecter et bloquer, l’EDR a une mission plus large, il va aussi enquêter pour comprendre ce qui s’est passé et répondre », explique Vivien Bernet-Rollande. L’EDR présente toutefois des limites. « Cette technologie est mature mais pas encore adaptée partout. Par exemple, sur certaines technologies réseaux, il n’est pas possible de l’utiliser et c’est justement ces technologies que les assaillants vont attaquer », détaille Vivien Bernet-Rollande.

Limiter les opérations d’influence

Campagnes de dénigrement, diffusions massives de fake news, tentatives de déstabilisation : ces sujets sont devenus des préoccupations récurrentes dans de nombreux pays. « Ces opérations ne demandent pas de réaliser des intrusions : il s’agit simplement de produire du contenu sur des réseaux sociaux, d’écrire des commentaires sous des articles de journaux, etc. C’est beaucoup plus facile à réaliser, ça demande moins d’expertise. Les réponses à ce phénomène vont peut-être se développer dans les prochaines années », analyse Vivien Bernet-Rollande. Si ces problématiques sont souvent évoquées d’un point de vue géopolitique, elles peuvent aussi toucher des petites structures. « Vous avez des entreprises qui postent des faux avis google sur la page de vos concurrents en échange d’argent. Cela dégrade la qualité de l’information », complète-t-il. 

Responsable de la Sécurité des Systèmes d’Information (RSSI)

Il·elle assure le pilotage de la démarche de cybersécurité. Il définit ou décline la politique de sécurité des systèmes d’information (prévention, protection, détection, etc.) et veille à son application. Il assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des directeur·trices métiers et/ou de la direction de son périmètre. Il s’assure de la mise en place des solutions et des processus opérationnels.

Architecte sécurité

Il·elle s’assure que les choix techniques et technologiques des projets et métiers respectent les exigences de sécurité de l’organisation. Il définit les modèles de sécurité et accompagne le développement des architectures de sécurité au sein du système d’information en cohérence avec la stratégie IT (pour technologie de l’information) et les politiques de sécurité de l’organisation.

Opérateur·trice analyste SOC (Security Operater Center)

Il·elle assure la supervision du système d’information de l’organisation afin de détecter des activités suspectes ou malveillantes. Il identifie, catégorise, analyse et qualifie les incidents à partir de rapports d’analyse sur les menaces. Il contribue au traitement des incidents de sécurité.

Consultant·e en cybersécurité

Il·elle propose, à partir d’un diagnostic, des solutions, méthodes, outils et autres qui répondent aux enjeux posés. Il mobilise pour ce faire des éléments issus de son expertise et de son expérience ainsi que des outils développés en interne. Il anticipe les évolutions du contexte de cybersécurité, apporte un retour d'expérience et une vision des pratiques du marché. Il apporte son expertise aussi bien sur des sujets méthodologiques que techniques.

Alexandrine, consultante en cybersécurité

Délégué·e à la protection des données (DPD)  ou Data Protection Officer (DPO)

Il·elle est chargé·e de mettre en œuvre la conformité au Règlement européen sur la protection des données (RGPD) au sein de l’organisation qui l’a désigné. Il s’intéresse également au risque lié à l’utilisation de la donnée sur la vie privée des personnes concernées. Si ce métier est considéré comme connexe, les missions du DPO impliquent des interactions fortes avec les acteurs de la cybersécurité.

Juriste spécialisé·e en cybersécurité

Le·la juriste spécialisé·e en cybersécurité est un expert du droit des technologies de l’information et de la communication qui est spécialiste des thèmes de la cybersécurité, la cybercriminalité et de la protection des données à caractère personnel. Il peut éclairer une organisation sur les conséquences pénales ou civiles d’une cyberattaque. Il est un acteur essentiel de la contractualisation avec les fournisseurs en intégrant des clauses de sécurité en collaboration étroite avec les équipes cybersécurité.

Définition et périmètre de la cybersécurité

Selon l’Anssi, la cybersécurité est « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. » 
Elle est organisée en 4 grandes familles de métiers :
-    Gestion de la sécurité et pilotage des projets de sécurité
-    Conception et maintien d’un SI sécurisé 
-    Gestion des incidents et des crises de sécurité 
-    Conseil, services et recherche 

Il existe également des métiers connexes (délégué à la protection des données, responsable des assurances, etc.) et d’autres qui peuvent permettre de se spécialiser (juriste, chargé de communication, etc.). 

Sources

APEC (en partenariat avec le Pôle d’excellence cyber), Cybersécurité, un marché de l’emploi cadre diversifié et de plus en plus porteur, 2022
Anssi, Panorama des métiers de la cyber, 2020