Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Le référentiel NICE

Le NICE (National Initiative for Cybersecurity Education) – SP 800-181 est un référentiel américain proposé par la NIST. Il est l’aboutissement d’un travail commun entre des organismes publics et privés. Il est organisé en :

• Spécialités, par exemple : gestion des risques, développement, tests, administration réseaux, conseils légaux, gestion des programmes et des projets, réponse aux incidents, investigations numériques (digital forensics). Chaque spécialité comprend une ou plusieurs fonctions. Par exemple, la spécialité développement comprend la fonction développeur et évaluation de la sécurité du code.
• Vecteurs KSA (Knowledge, Skills, Abilities) qui déterminent les connaissances, les compétences et les aptitudes requises pour un poste. Par exemple : connaissance en mise en œuvre des IDPS (intrusion detection prevention system) ou du référentiel top ten OWASP, compétences Active Directory, écriture de scripts en Python. Les aptitudes englobent les volets techniques (par exemple aptitude à analyser des captures Wireshark) et fonctionnelles (par exemple, aptitude à prendre des décisions, à prioriser des actions, à interpréter un cadre juridique).
• Tâches à réaliser dans le cadre d’une fonction (par exemple définir les exigences fonctionnelles de sécurité en collaboration avec les métiers, mettre en œuvre les outils d’analyse de code, mener les AIPD, définir le cadrage des projets).

NICE est un outil intéressant et abouti qui peut servir de base pour : identifier et formaliser ses besoins, faciliter les recrutements (rédaction des annonces, descriptions des postes) ou encore définir des parcours de formation. A ce sujet, la rétention des talents en cybersécurité est un élément vital et les collaborateurs sont généralement très attachés aux possibilités de formations.

Les autres référentiels

D’autres initiatives poursuivent le même objectif. En France l’ANSSI a publié une liste de métiers SSI qui détaille les principales fonctions et les niveaux d’expérience attendus. Les référentiels CIISec sont aussi très intéressants. Ils définissent plusieurs fonctions et compétences par métier de la cybersécurité avec des niveaux qui vont de 1 (basique) à 6 (expert du domaine) avec les critères associés. L’initiative européenne e-CF se focalise sur quarante compétences numériques avec pour chacune une analyse suivant plusieurs dimensions. Par exemple, la dimension domaine (Plan, Build, Run, Enable, Manage), la dimension compétences, la dimension niveau demandé et la dimension connaissances requises. Par ailleurs, les compétences linguistiques, en particulier la maitrise de l’anglais, font partie des attendus pour de nombreux postes en cybersécurité, qu’ils soient de types techniques ou management. A ce sujet, le CEFR (Common European Framework for Reference) précise une grille de niveaux : basiques (A1, A2), indépendants (B1, B2) et avancés (C1, C2) sur les axes compréhension, rédaction et communication orale.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Et retrouvez notre catalogue de formation 2019.