Les banques subissent de plein fouet les cyberattaques. Pour les contrer, les budgets et les moyens déployés sont de plus en plus importants. Elles s’organisent également en interne et s’arment de profils experts. Mais quels sont les meilleurs profils recrutés par les banques pour se protéger des cyberattaques ? Les banques sont-elles en train de constituer une cyber-élite ?
Nous avons interrogé le professionnel de la cybersécurité Jean-Nicolas Piotrowski (PDG ITrust) et l’expert recrutement Jacques Froissant (PDG Altaïde) sur l’état du marché.
Jean-Nicolas, peut-on rappeler le contexte de l’organisation des banques aujourd’hui en matière de cybersécurité ?
@Jean-Nicolas Piotrowski : Pour les industries financières, la cybersécurité a toujours été un sujet fondamental – c’est une des fondations mêmes de la banque, pour assurer la protection des comptes.
Les banques ont investi très tôt dans la cybersécurité, notamment en raison des contextes à l’époque et des contraintes réglementaires.
Les banques restent la cible prioritaire des attaques et des malveillances car elles conservent des données très précieuses : les données des clients et les données financières.
Depuis trois, quatre ans, il y a un décalage entre les capacités d’attaque et les capacités défensive de protection des banques. Un décalage qui s’est instauré et qui est à l’origine de ce que l’on voit dans les médias : les attaques botnet, les virus, les attaques par phishing ou autre.
C’est en partie dû à des méthodes un peu archaïques : on continue de se protéger de l’intérieur en considérant que seule la défense périmétrique, c’est-à-dire la défense par firewall et les anti-virus suffisent. Or, c’est largement insuffisant aujourd’hui compte tenu de la modernisation des attaques.
Cela fait combien de temps que les banques s’attaquent au problème des cybersécurité ? A quel stade en sera-t-on dans trois ans ?
@Jean-Nicolas Piotrowski : Me concernant j’ai démarré en 1998, on commençait à peine à faire de la sécurité.
Dans trois ans, on en sera au même niveau car il y a un problème de culture. On reste sur des profils d’ingénieurs et de dirigeants, qui sont encore cantonnés à des modèles de défense qui sont archaïques. Certes, il y a de nouveaux modèles qui arrivent, mais le temps que la culture s’impose, ça va prendre 5 ans.
Sentez-vous un intérêt croissant sur la recherche de profils “cybersécurité” dans ce secteur ?
@Jacques Froissant : Par l’oeil du recrutement, ce que je vois c’est qu’on ne nous sollicitait pas il y a 2 ans sur la recherche de profils cybersécurité alors qu’aujourd’hui, c’est devenu fréquent ! Dans les banques, mais chez d’autres acteurs aussi… Chez Altaïde, on travaille avec un grand constructeur automobile qui recrute des profils en cybersécurité.
Pour préparer cette interview, j’ai regardé “Indeed”, le moteur de recherche d’emploi et tapé le mot clé “cybersécurité” pour voir combien il y a d’annonces actuellement sur le sujet. Il y en a un peu plus de 1000, soit autant que pour des data scientist, donc c’est assez significatif. On parle beaucoup en ce moment de data scientist mais il y a autant de recherches de candidats liées à la cybersécurité !
Est-ce qu’il est facile aujourd’hui de trouver les profils experts en cybersécurité ? A votre avis, le marché répond-il à la demande ?
@Jacques Froissant : C’est difficile, parce derrière le mot “cybersécurité”, il faut bien diagnostiquer ce qu’attendent les boîtes. Si c’est de la cybersécurité au sens classique, pour gérer des firewall et des anti-virus, ça on trouve… Quand on est sur des profils qui ont une culture un peu nouvelle, qui sont à la frontière entre le hacking et la sécurité, nous sentons qu’il y a un manque. C’est aussi un état d’esprit qui doit s’apprendre. Cela peut être une bonne idée de construire une école autour de ça.
Jean-Nicolas, Jacques, d’après vous, les startups Fintech et les institutions financières ont-elles la même façon d’aborder la cybersécurité ?
@Jean-Nicolas Piotrowski : On peut difficilement comparer la startup et le grand groupe bancaire. La raison est simple : on a une vingtaine de métiers dans la cybersécurité – la startup ne peut pas recruter les vingt profils qui permettent d’adresser toutes les problématiques. Elles vont avant tout répondre aux contraintes réglementaires type RGPD, PCI-DSS et données de santé. Elles vont d’abord s’entourer de profils organisationnels qui permettent de mettre en place les procédures pour se protéger et pour répondre aux contraintes réglementaires. La partie technique, la partie intervention, la partie surveillance, nécessitent ces fameux vingt profils. Donc la startup a quand même nécessité à sous-traiter une grande partie de l’activité de cybersécurité. Les banques, leurs enjeux sont de garder les talents, car la concurrence est très forte.
@Jacques Froissant : La startup se renforce sur la cybersécurité quand elle en est à sa 3ème ou 4ème levée de fonds. Avant, elle bricole… après, ça dépend aussi de l’expérience du CTO sur ces sujets. Les startups qui traitent beaucoup de données clients se penchent sérieusement sur le sujet. Toutes les startups moyennes et plus petites, font avec les moyens du bord.
@Jean-Nicolas Piotrowski : Chez ITrust, on détecte les failles sur les sites de startups Fintech. Quand on leur remonte l’information, le problème du budget se pose… On se retrouve donc avec une faille, sans pouvoir la résoudre, mais par manque de moyens financiers. 95% des startups sont dans ce cas là. C’est assez dramatique.
On a travaillé pour une grosse Fintech (rachetée depuis), qui avait un seul ingénieur pour faire de la sécurité. Un profil hackeur. Le hackeur est très bon pour rentrer, pour pirater, mais il n’est pas bon pour protéger. Enfin, la plupart ne le sont pas forcément. Lui n’avait aucune notion de ce qu’il fallait mettre en place pour se protéger. C’est resté comme ça des années, jusqu’à ce qu’ils soient rachetés.
“On a une vingtaine de métiers dans la cybersécurité – la startup ne peut pas recruter les 20 profils qui permettent d’adresser toutes les problématiques” Jean-Nicolas Piotrowski
Y-a-t’il un manque dans les formations de cybersécurité aujourd’hui ? Les formations remplissent-elles les attentes en matière de pratiques et compétences attendues pour les recruteurs ?
@Jacques Froissant : Sur ce sujet, sans en avoir vu des milliers, les meilleurs ingénieurs que j’ai vu n’ont pas fait de formation particulière. Souvent, ils sont plutôt ingénieurs, plutôt branchés sur le sujet, ils ont appris et testés, peut-être par eux-même. J’ai pas un réflexe quand je recrute un ingénieur cybersécurité de me dire “Je cherche dans telle école”. Il n’y a pas de constance. C’est de la pratique, un peu comme dans tous les métiers qui se font d’abord par la pratique.
@Jean-Nicolas Piotrowski : De notre côté, on a identifié 4 écoles qui nous fournissent en très bons profils « cybersécurité » en France. Mais 4 finalement c’est très peu par rapport à la demande.
Quelles sont ces 4 écoles?
@Jean-Nicolas Piotrowski : Il y a l’UTT à Troyes, l’Université de Troyes, qui forme de très bons ingénieurs en cybersécurité. Et aussi une spécialisation Cybersécurité (TLS-SEC) en 3ème année de formation à l’ENSEEIHT et qui forme de très bons ingénieurs. Les promos sont petites face à une demande importante du marché. Chez ITrust par exemple, il y a une quinzaine de postes qui ne sont pas pourvus. En France, on estime que dans les trois ans, il y aura 100 000 postes non pourvus sur la cybersécurité. Je pense que c’est un peu surestimé, mais même si c’est surestimé de 50%, ça donne quand même une tendance énorme. Donc on manque énormément de profils. On est obligé d’aller les recruter à l’étranger, on est dans le même cas que les SS2I. Chez ITrust, nous avons des profils de nationalité colombienne, roumaine, ukrainienne parce qu’on a du mal à trouver des personnes vraiment très compétentes sur le territoire français.
La France est-elle en retard par rapport au marché international sur ce secteur?
@Jean-Nicolas Piotrowski : Non, c’est pareil partout ! Aux Etats-Unis, (où nous avons une filiale ), c’est dramatique : un ingénieur en sécurité coûte une fortune, et vous pouvez le perdre car le marché est hyper concurrentiel. Chez ITrust, on a des contrats aux Etats-Unis que l’on pilote depuis la France car nous disposons de plus de profils ici que sur le sol américain. On forme beaucoup d’ingénieurs en France – même si il y a une tendance à voir le numérique comme moins attractif qu’il y a quelques années – alors que c’est un métier d’avenir – où on peut très bien gagner sa vie et dans lequel il y a de vrais débouchés.
Partant de ce constat, Nathalie Reynaud, Alain Rabary, Anouk Dequé, Luc Andrade et moi-même avons décidé de monter une école, l’AN 21, pour former à des compétences pluridisciplinaires pour en sortir des ingénieurs à double casquette .
Aujourd’hui vous avez un profil en ingénierie sécurité, et un profil développeur. Grâce au cursus que proposera notre école, un ingénieur pourra avoir les doubles compétences « développement » et « sécurité » ou un ingénieur “data scientist” qui sache développer. Ce que ne proposent pas les formations aujourd’hui, alors que l’on a besoin de ces profils duales qui n’existent que très peu.
Chez ITrust, nous sommes obligés de former nos ingénieurs pour compléter leur formation: former un développeur, à la sécurité ou inversement.
Quel est le métier cybersécurité de demain dans le secteur bancaire ?
@Jacques Froissant : J’ai le droit dire que je ne sais pas? C’est clair que pour moi un spécialiste cybersécurité, c’est quelqu’un qui a des fondamentaux technos poussés, capable de rentrer dans le code, de comprendre, qui est quelqu’un de curieux et en veille permanente, c’est un peu ça que je vais rechercher. Faire de la prédiction c’est compliqué. C’est comme quand l’on m’interrogeait sur la data il y a trois ans. Ce que l’on savait, c’est qu’une vague de recrutement allait se faire autour de ces métiers, ce qui est confirmé aujourd’hui.
Et est ce qu’un poste d’évangélisateur cybersécurité peut apparaître et répondre à des besoins ?
@Jacques Froissant : Clairement, des évangélisateurs qui font de l’éducation et de l’acculturation en interne, c’est important dans les grandes entreprises ! Ce sont des postes qui vont exister. C’est pour moi essentiel. C’est un des plus gros manque aujourd’hui et je pense que Jean-Nicolas dira la même chose…
@Jean-Nicolas Piotrowski : Oui, je compare ça à la sécurité incendie ! Il y a toujours des personnes qui doivent être formées à l’évacuation, aux premiers gestes qui sauvent, parallèlement à une équipe sécurité, qui fait de l’expertise. Il va y avoir de plus en plus de formations – de sensibilisations, proposées aux collaborateurs sur ce sujet. Aujourd’hui ces profils s’appellent « des correspondants », un rôle hybride entre le chef de projet, le sensibilisateur, et l’évangélisateur, au courant des bonnes pratiques de sécurité en charge de diffuser la bonne méthode préventive en interne. Pour le coup, ça ne nécessite pas de grosses compétences techniques. Ça peut être une opportunité de carrière – de reconversion en interne.
“ Il faut aussi aller éduquer les gens en interne. C’est pour moi essentiel. C’est un des plus gros manque aujourd’hui” Jacques Froissant
Jean-Nicolas, Jacques, pour finir, quelles sont les qualités nécessaires qu’il faut avoir quand on s’oriente vers la cybersécurité?
@Jean-Nicolas Piotrowski : Chez ITrust, on prend des hackeurs. Des recrutements dérivés qui nous permettent des profils très techniques. Les qualités que l’on attend d’eux sont le « savoir-être » et « un sens de l’éthique »
Le savoir-être, car il faut un dialogue avec les clients, prendre le temps d’expliquer les failles et les solutions, avoir une capacité de synthèse. Je reviens sur le mode duale, ou à trois faces : il faut avoir deux-trois compétences larges. Il faut être ingénieur, mais aussi travailler sur les normes, les process et la réglementation.
C’est important d’avoir une ouverture d’esprit, en veille permanente (ça va très très vite dans ce secteur), et d’avoir une capacité de synthèse. C’est complexe de vulgariser un sujet très technique pour qu’il soit bien compris par le client.
Plus spécifiquement chez ITrust, on attend qu’ils soient de grands communicants car 80% des problèmes de sécurité sont dus à des problèmes de communication. Les ingénieurs ne sont pas du tout habitués à communiquer. Un problème qui survient, est souvent lié à une mauvaise explication ou communication sur ce qu’on était en train de faire. Ce pourquoi on propose des formations internes de communication chez ITrust.
@Jacques Froissant : Oui, l’éthique, le bonhomme et l’humain sont hyper importants dans la cybersécurité. Parce que ça peut aussi être la faille : avoir un responsable cybersécurité qui manque un peu d’éthique et qui est un peu « borderline » par exemple. Ce sont des postes qui sont compliqués, aussi à cause de ça : parce qu’au-delà des compétences techniques et des savoir-faire, le savoir-être est hyper important. Chez Altaïde, nous soignons particulièrement l’évaluation humaine et la prise de références sur ces postes-là.
@Jean-Nicolas Piotrowski : Oui, c’est exactement ça. Il y a une raison fondamentale : le marché de la sécurité est basé sur la confiance. Vous faites travailler des gens parce que vous avez confiance en eux. Vous remportez des appels d’offres avant tout parce que vous avez une image de confiance. Notre cœur de travail, c’est la confiance. Donc si vous avez des gens qui ne transpirent pas la confiance, qui pipeautent, qui ne sont pas honnêtes, vous ne pouvez pas durer dans ces métiers.
