L’année 2014 a révolutionné l’approche britannique de la formation à la cybersécurité. Après des années de sous-investissement, un nouveau virage vient enfin d’être pris avec la reconnaissance du rôle crucial que le secteur de la cybersécurité est amené à jouer dans l’avenir de l’économie britannique.

L’enseignement du code aux enfants a été un axe crucial du plan britannique à long terme pour combler le retard en matière de formation à la cybersécurité. Le sommet D5 qui s’est tenu à Londres en décembre 2014 a d’ailleurs confirmé son importance en en faisant l’un de ses trois thèmes principaux : dans la charte D5 signée à cette occasion par la Corée du Sud, l’Estonie, la Nouvelle-Zélande, Israël et le Royaume-Uni, chaque pays s’est engagé à définir des principes spécifiques d’évolution digitale.

En septembre dernier, les écoliers britanniques ont découvert trois nouvelles matières, l’informatique, le numérique et les TI, venues s’ajouter aux disciplines classiques que sont les mathématiques, l’anglais et la science. Le programme de TIC, rebaptisé Programme informatique, prévoit d’enseigner aux enfants, dès l’âge de cinq ans, les bases de l’informatique, notamment la programmation, le code informatique et l’écriture d’algorithmes.

L’ensemble s’inscrit dans une initiative globale de réorientation de l’approche nationale en matière de formation à la cybersécurité. Le GCHQ, le service de renseignements électronique du gouvernement britannique, a récemment lancé « Cryptoy », une appli pour apprendre aux enfants ce qu’est le cryptage, tandis que le Cyber Security Challenge du Bureau du Cabinet (Cabinet Office) poursuit ses efforts pour attirer les jeunes vers les carrières de la cybersécurité. Les 27 000 ambassadeurs de bonne volonté du réseau STEMNET interviennent dans les écoles britanniques pour faire connaître aux élèves les carrières offertes par les STEM (science, technologie, ingénierie et mathématiques). Des sites historiques comme Bletchley Park ont également montré qu’ils pouvaient être des alliés extrêmement précieux pour motiver les jeunes.

Les compétences informatiques ayant fortement progressé sur l’échelle des priorités, le gouvernement a fait des efforts considérables pour doter les jeunes de ces capacités essentielles.

Mais à une époque où les cyber-attaques évoluent à une vitesse vertigineuse, on ne peut se permettre de laisser les programmes scolaires stagner ou se contenter d’inculquer aux enfants des rudiments. David Emm, chercheur en sécurité à Kaspersky Lab, a judicieusement fait remarquer que, dans le cyber-environnement extrêmement mouvant, les TI et la cybersécurité devraient être des matières obligatoires jusqu’à 16 ans, au même titre que les mathématiques et l’anglais.

 

Acquérir les compétences requises

 

Si l’avenir est prometteur pour la nouvelle génération, la Grande-Bretagne continue à se battre pour combler son déficit en matière de compétences. Alors que certaines entreprises spécialisées dans la sécurité des informations sont aux prises avec les lois sur l’immigration pour engager des travailleurs étrangers dotés des compétences requises, d’autres tentent d’exploiter les capacités d’anciens hackers. Mais qu’en est-il de nos diplômés en informatique ?

Une étude de la Higher Education Careers Services Unit (HECSU) menée en septembre a révélé que le nombre de diplômés en informatique sans emploi six mois après avoir obtenu leur diplôme avait diminué de 14,8 % en 2013 à 13 % cette année, mais restait incroyablement plus élevé que la moyenne qui se situe à 7,3 %. Ces niveaux de chômage n’ont rien à voir avec un faible nombre d’emplois dans le secteur de la cybersécurité. Le problème, c’est que les diplômés ne possèdent pas les compétences requises pour ces postes.

Le manque d’enseignement professionnel adapté exacerbe le problème. Bien que les contrats d’apprentissage dans ce secteur n’aient jamais été aussi nombreux, il faut que les employeurs et les universités renforcent leurs liens pour offrir aux diplômés une formation plus complète, combinant études et expérience pratique sur le tas.

Dans des prévisions récentes, la Commission européenne a estimé que, d’ici 2017, le Royaume-Uni aurait besoin de 750 000 spécialistes en cybersécurité supplémentaires. Avec ses connaissances et son expertise, le Royaume-Uni a tout ce qu’il faut pour devenir l’un des principaux exportateurs de compétences en cybersécurité. Ceci étant, nous n’avons pas autant progressé que nous l’aurions pu. Notre incapacité, par le passé, à enseigner correctement l’informatique et la sécurité dans les écoles nous fait aujourd’hui accuser un retard de 6 à 8 ans par rapport à des pays comme les États-Unis. C’est dommage que les évolutions récentes ne soient pas intervenues plus tôt.

Pour remédier à cette situation, nous devons investir en permanence dans la formation et la sensibilisation à la cybersécurité et créer plus d’emplois dans ce domaine. Il faut montrer les carrières dans la cybersécurité sous un jour plus attrayant et faire valoir leur positionnement à la pointe des TI. Les choses ont évolué dans le bon sens et une révolution culturelle est en marche, mais cela ne se fera pas du jour au lendemain.

 

On peut bousculer les vieilles habitudes

 

Si les programmes éducatifs comme STEMNET et The Cyber Security Challenge, ainsi que les modifications apportées aux programmes scolaires, sont d’excellentes initiatives pour motiver la jeune génération, ils sont d’une utilité nettement moindre pour les professionnels en activité. Faute, pour les autorités, d’avoir anticipé les avantages de l’initiation à l’informatique, les entreprises sont aujourd’hui confrontées à un déficit d’expertise en cybersécurité, voire de sensibilisation générale à ces questions. Cela reste l’un des plus gros problèmes qu’elles rencontrent pour se prémunir et lutter contre les cybermenaces.

Il faut donc que les entreprises prennent des mesures pour développer chez leurs salariés une culture de compétence en cybersécurité, au lieu d’envisager ces questions comme un frein. Les RH pourraient jouer un rôle majeur en aidant les services informatiques à organiser pour les salariés de tous échelons des formations continues et obligatoires sur les bonnes pratiques en matière de cybersécurité. De nombreux salariés sont formés aux règles de santé et de sécurité, pourquoi pas aux règles de cybersécurité ?

Chaque service doit comprendre les menaces spécifiques auxquelles il est exposé ; les professionnels des RH et des achats, en particulier, ont besoin d’aide pour faire face aux escroqueries par phishing et de bonnes pratiques pour ouvrir les pièces jointes douteuses. Ils doivent en effet ouvrir des kyrielles de courriers électroniques provenant de sources inconnues (spécifications produits, CV, etc.) et, de ce fait, sont souvent la voie d’accès la plus facile pour les cybercriminels.

Il faudra peut-être attendre une décennie avant de pouvoir constater les effets positifs des efforts actuels pour améliorer les compétences britanniques en cybersécurité. Mais nous avons montré qu’un changement culturel et une meilleure compréhension étaient possibles pour peu que les entreprises et le gouvernement se mobilisent dans ce sens. C’est sur ces bases que nous devons nous appuyer en 2015 pour créer une culture dans laquelle les gens des horizons les plus divers utiliseront l’informatique et comprendront comment se protéger eux-mêmes, ainsi que leurs entreprises en ligne. Une révolution culturelle est aujourd’hui essentielle pour soutenir nos efforts et améliorer nos chances de survie dans le paysage extrêmement mouvant des menaces.