Écran noir sur TV5 Monde. Le 8 avril, la chaîne de télévision francophone a fait l’objet d’une cyberattaque de grande ampleur. Privée d’antenne de 22 heures à 1 heure du matin, elle a aussi perdu le contrôle de ses sites Internet et de ses médias sociaux pendant plusieurs jours : sa page Facebook a ainsi été transformée en site de propagande du « cybercaliphate ». Trois mois plus tôt, juste après les attentats contre Charlie Hebdo et l’Hyper Cacher de Vincennes, les cyberdjihadistes avaient déjà fait la preuve de leur danger en attaquant 19 000 sites Internet français en quatre jours. « C’est la première fois que le pays est confronté à une telle cybercontestation », commentait alors le vice-amiral Arnaud Coustillière, officier général cyberdéfense à l’état-major des armées, lors de son point presse du 15 janvier.

Mais certainement pas la dernière… Aux États-Unis, le piratage des archives et de la correspondance du groupe Sony Pictures Entertainment serait l’œuvre de hackers financés par l’État nord-coréen. Quant aux attaques menées entre 2012 et 2014 contre de grandes enseignes américaines (Target, Home Depot) ou françaises (Carrefour et Orange), qui se sont fait dérober des millions de numéros de cartes de paiement, elles seraient plutôt mafieuses. « Nous n’avons plus affaire à des hackers isolés, plus ou moins virtuoses ou bien intentionnés. Un véritable système criminel s’est mis en place », prévient Gil Delille, responsable de la sécurité des systèmes d’information (RSSI) du groupe Crédit agricole.

Le dark Web, c’est-à-dire le Web caché, qui échappe aux moteurs de recherche classiques, serait devenu une place de marché, où cinq heures d’interruption de service se négocient quelques centaines de dollars, où les numéros de cartes de crédit se vendent aux enchères et où la prise d’otage de tout un système d’information peut être organisée moyennant rançon. Ces attaques sont rendues plus faciles avec l’ouverture des systèmes sur le réseau mondial. Aujourd’hui, 72 % des sites Web comportent ainsi des vulnérabilités, si l’on en croit une étude menée l’an dernier par l’éditeur HTTPCS. Le coût des cyberattaques, en croissance constante, tournerait autour de… 400 milliards de dollars au niveau mondial en 2015, selon l’assureur britannique Lloyd’s. De quoi inciter les décideurs français à renforcer massivement leurs investissements dans la sécurisation des données. Ce que beaucoup prévoient de faire en 2016.

Rompus à la gymnastique intellectuelle qu’impose une matière en constante évolution, les ingénieurs en cyber sécurité ont d’ores et déjà repensé l’organisation des systèmes de défense. Mais les directeurs des ressources humaines, peu familiers de ces problématiques, sont à la traîne : ils n’ont pas encore identifié la sécurité informatique comme une profession à part entière. « J’ai récemment recruté un ingénieur senior chargé de piloter une équipe sécurité de cinq personnes. Pas moyen de trouver un libellé de poste correspondant à sa mission, qui comporte des dimensions “maîtrise d’ouvrage”, “conseil” et “management” bien plus importantes que le poste de “responsable d’équipe informatique” auquel nous avons dû nous résoudre à le rattacher », témoigne un expert informatique du secteur financier qui préfère rester anonyme.

Un détail ? Pas tant que ça. Car si certains ingénieurs s’orientent vers la sécurité plutôt que vers le développement, c’est précisément parce que l’activité leur semble plus riche intellectuellement. C’est par exemple le cas de Dimitri Druelle, le responsable de la sécurité des systèmes d’information de GFI Informatique. « Je n’ai jamais été un geek, explique ce polytechnicien de 34 ans. Le sujet m’intéresse parce qu’il permet d’avoir une vision globale et transverse de l’organisation de l’entreprise. » « C’est aujourd’hui l’une des fonctions les plus transverses, à l’instar de la supply chain il y a quelques années », abonde Sébastien Bombal, ex-RSSI d’Areva, désormais responsable du cursus Systèmes, réseaux et sécurité au sein de l’école d’ingénieurs Epita.

Conséquence logique de la montée des périls numériques, ces fantassins sont en train de monter en grade. Longtemps placés sous l’autorité des directeurs des systèmes d’information (DSI), ils s’émancipent pour devenir des « DSSI ». « Un directeur de la sécurité des systèmes d’information doit être en mesure de dialoguer avec d’autres directions, notamment juridique et financière, et de défendre des arbitrages au plus haut niveau, jusqu’en comité exécutif », poursuit Dimitri Druelle.

Cette montée en compétences impose d’inventer de nouveaux lieux de réflexion et de formation. À l’image de l’initiative de Nicolas Arpagian, maître de conférences à l’École nationale supérieure de la police et auteur du « Que sais-je » consacré à la cybersécurité. Lui a eu l’idée de mettre sur pied un cycle consacré à la sécurité numérique au sein de l’Institut national des hautes études de la sécurité et de la justice. « Dans ce domaine en constante évolution, où des autodidactes peuvent être plus compétents que des surdiplômés, il m’a semblé intéressant de créer ce cursus hybride, mêlant des responsables de sécurité des systèmes d’information à des juristes, des risk managers et des représentants de la police ou de la justice. »

Du reste, les échanges entre pairs sont très importants dans le schéma de veille et de maintien des compétences des experts en cybersécurité. Ceux-ci aiment ainsi à se réunir au sein d’instances telles que le Cercle européen de la sécurité et des systèmes d’information et le Club de la sécurité de l’information français. Ou bien encore le Forum des compétences, plutôt destiné aux entreprises du secteur financier. « Les banques ont toujours eu un rôle moteur dans la prise en compte des enjeux de sécurité, explique Wilfrid Ghidalia, son secrétaire général. Leurs pratiques sont en effet suivies de près par toutes les instances de contrôle françaises et européennes. »

Aujourd’hui, le mythe du hacker surdoué déjouant les plans de la Nasa du fond de sa piaule d’étudiant a du plomb dans l’aile. La sécurité informatique recrute essentiellement des bac + 5 en informatique, télécoms ou systèmes et réseaux. Des cracks formés dans la douzaine d’écoles d’ingénieurs et d’universités ayant créé des spécialisations en sécurité : Mines Saint-Étienne, Esiea, ECE, Epita, Insa Rennes, Télécom ParisTech, Sophia Antipolis… Cette nouvelle offre de formation peine toutefois à suivre la demande, exponentielle. « Il faudrait quatre fois plus de diplômés pour répondre aux attentes du marché », explique Sébastien Bombal. Des besoins qui restent pourtant raisonnables : dans les entre prises industrielles ou financières, les équipes de sécurité des systèmes d’information ne comptent que quelques dizaines de personnes. À la SNCF, on en dénombre certes 80, mais rapportées aux effectifs du groupe, elles ne pèsent jamais que 0,03 % des effectifs !

Les plus gros bataillons d’ingénieurs en sécurité se trouvent dans les sociétés de services et d’ingénierie en informatique généralistes, telles Atos et Sogeti, qui en comptent une centaine chacune. Et chez les spécialistes de la cybersécurité que sont Devoteam, Lexi Ingénierie ou Solucom, qui emploient entre 100 et 150 ingénieurs spécialisés en leur sein. « Les entreprises ont encore plus de mal à recruter que nous, car leurs missions sont moins variées et leurs perspectives de carrière moins ouvertes que les nôtres », observe Michaël Bittan, directeur France de l’offre risk & security de Devoteam.

Les entreprises friandes de sécurité numérique se font surtout griller la politesse par un acteur institutionnel qui siphonne le marché des jeunes diplômés : l’Agence nationale de sécurité des systèmes d’information. Le « gendarme » de la cyber sécurité recrute près d’une centaine d’ingénieurs chaque année. « De 350 agents en 2013, nous sommes passés à 420 aujourd’hui, détaille le contre-amiral Dominique Riban, directeur général adjoint de l’organisme créé en 2009. Mais nous devrions être 500 à la fin de l’année et 580 en 2017. » Pour attirer les jeunes diplômés, l’Anssi a deux arguments massue : une habilitation « secret défense » autorisant les émules des romans d’espionnage de John le Carré à travailler sur des projets engageant la sécurité nationale ; mais aussi, et surtout, des salaires en début de carrière plus élevés. « Notre salaire net correspond à celui brut du privé », précise Dominique Riban, qui a reçu l’an passé 1 400 candidatures pour 100 postes à pourvoir.

D’un attrait irrésistible pour les jeunes, l’Anssi peine à retenir les seniors. Car l’écart de rémuné ration se résorbe en quelques années. La pénurie de compétences tend en effet à faire flamber les émoluments des experts en cybersécurité : quand un développeur informatique gagne autour de 33 000 euros brut annuels en début de carrière, un jeune ingénieur en cybersécurité peut espérer gagner 20 à 30 % de plus dès son embauche. Et atteindre assez rapidement les 50 000 euros. « À ce niveau de salaire, il n’y a plus beaucoup de développeurs », commente Sébastien Bombal. Lui ne cesse de conseiller à ses étudiants de l’Epita de choisir la voie de la sécurité, dont les opportunités de carrière semblent plus solides et pérennes.

400

C’est, en milliards d’euros, le coût estimé des cyberattaques à l’échelle mondiale pour 2015.

Un chiffre en augmentation constante.

Source : Lloyd’s.

L’Estonie en 2007, la Géorgie en 2008, la Corée du Sud en 2009… Ces trois États ont subi des attaques de grande ampleur pouvant être considérées comme des actes de guerre. Pour s’en prémunir, la France a défini, par arrêté du 2 juin 2006, 12 domaines d’importance vitale : santé, alimentation, gestion de l’eau, transports, énergie, communication, finances, etc.

La loi de programmation militaire pour 2014-2019 fixe quatre obligations aux employeurs opérant dans ces secteurs stratégiques : ne pas connecter certains systèmes critiques à Internet, faire installer des systèmes de détection par des prestataires labellisés par l’État, faire auditer le niveau de sécurité et adopter les mesures imposées par l’État en cas de crise majeure.

Parallèlement, une « réserve citoyenne cyberdéfense » a été créée. Il s’agit d’un réseau de 150 experts de tous horizons (civils ou militaires) qui interviennent en soutien du ministère de la Défense, de l’Anssi et de la Direction générale de la gendarmerie nationale pour faire connaître les enjeux de la cybersécurité. C’est dans ce cadre qu’a été organisée, en mars, la 2^e édition de Defnet. Un exercice de simulation d’une cyberattaque qui a mobilisé 580 experts civils et militaires sur sept sites de l’armée et deux bâtiments de la Marine nationale. « L’expérience montre qu’en cas de crise majeure il faut des volumes de main-d’œuvre considérables, de l’ordre d’un informaticien par machine touchée », explique Sébastien Bombal, responsable du cursus Systèmes, réseaux et sécurité d’Epita et capitaine de réserve citoyenne cyberdéfense. Les étudiants de neuf établissements supérieurs (CentraleSupélec, Ensta Bretagne, Epita, Insa Rennes, IUT de Saint-Malo, IUT de Lannion, Télécom Bretagne, Télécom ParisTech et l’université Rennes 1) ont ainsi été invités à prendre part à l’exercice et à rejoindre la réserve.