En septembre 2017, le général Olivier Bonnet de Paillerets est devenu le premier commandant de la cyberdéfense de l’histoire de France. Il succède au vice-amiral Arnaud Coustillière, officier général cyber. La création du Commandement Cyber français (COMCYBER - rattaché à l’état-major des Armées) et cette nouvelle nomination, sont la suite logique du souhait de l’ancien ministre de la Défense, Jean-Yves Le Drian, de voir émerger un jour une quatrième armée autonome, aux côtés de l'armée de Terre, de la Marine et de l'armée de l'Air. Si cette quatrième armée est encore aujourd’hui une chimère, la création de ce commandement, englobant un état-major central réduit et quelques unités, est la première pierre qui vient étayer la nouvelle composante cybernétique française du ministère des Armées (MINARM).

Ce choix stratégique, effectué par la France au cours de la dernière décennie, ne doit néanmoins pas faire oublier l’avance prise par d’autres puissances (États-Unis, Russie, Chine) dans ce domaine et la nécessité de disposer d’une ressource humaine qualifiée rare pour proposer un modèle cohérent, solide et surtout crédible sur le long terme. Plus que dans tout autre domaine opérationnel, la cyberdéfense est avant tout une affaire de compétences techniques de haut niveau à acquérir et qui doivent être maintenues et actualisées dans la durée.

Si la composante cyberdéfense est aujourd’hui considérée comme un vecteur incontournable du succès des opérations militaires et de la souveraineté nationale, il n’en demeure pas moins que cette composante naissante doit impérativement se consolider et gagner la bataille des ressources humaines. Une piste prometteuse consisterait à fédérer les initiatives et développer une filière militaire de cyberdéfense complète pour accroître l’attractivité et la visibilité d’un domaine en pleine expansion et en quête de ressources rares et très recherchées.

Pour comprendre comment relever ce défi de robustesse et d’efficacité, il faut tout d’abord considérer le jeune modèle choisi par la France. Ensuite, il convient de comprendre que la ressource ne doit pas être réduite à la seule dimension technique, mais s’appuyer sur l’implication de l’ensemble du personnel au bénéfice du projet stratégique. Enfin, la rareté et la volatilité des ressources poussent à regarder vers la capitalisation sur différentes initiatives pour développer une filière stratégique.

Un modèle cohérent à consolider

Après le « pacte défense cyber [1]» qui visait à mettre en ordre de bataille le MINARM pour l’adapter au défi du cybernétique, l’avènement du COMCYBER [2] est destiné à fédérer et dynamiser l'ensemble des forces de cyberdéfense après une décennie d’effort dans ce domaine [3]. Cette composante repose sur un principe intemporel : la sécurité des systèmes dépend des hommes qui la mettent en oeuvre. Tout acteur peut accéder à la technologie avec le financement nécessaire. Ce qui fait et fera la différence, c'est la qualité des ressources humaines et du modèle qui les intègre.

La constitution d’une quatrième armée cybernétique, souhaitée par l’ancien ministre de la Défense Jean-Yves Le Drian, serait une réponse idéale pour manœuvrer sur le champ de bataille cybernétique. Ce modèle d’armée serait atypique et observé de tous. Il ouvrirait une voie ambitieuse différente des choix d’autres puissances cybernétiques, telles que les États-Unis et la Chine.

Mais cette création pourrait entraîner une perte de cohérence en siphonnant le vivier des spécialistes des différentes armées et provoquer des failles dans un domaine qui, au contraire, doit rassembler et être partagé puisqu’il est omniprésent dans nos systèmes d’arme. En misant sur un commandement interarmées, le COMCYBER semble être « la meilleure voie » comme le souligne l’amiral Coustillière. De plus, il offre une centralisation des capacités pour permettre une lecture approfondie de l’évolution de la menace, assurer un contrôle des ressources et homogénéiser les méthodes sur la totalité des engagements possibles. Le COMCYBER coiffe et distingue les missions offensives, défensives et de renseignement au travers d’unités distinctes pour couvrir efficacement le large spectre de la menace cybernétique.

Surtout, les ressources humaines du COMCYBER doivent lui permettre de couvrir un spectre étendu de métiers et d’activités. Sans « combattants numériques » en qualité et en quantité, le COMCYBER serait une coquille vide. Aussi nécessite-t-il du personnel extrêmement qualifié, en nombre suffisant, comme le formalise l’axe 3 [4] du pacte Défense cyber [5]. La loi de programmation militaire 2019-2024 double donc ses effectifs, pour les porter à 2 600 d'ici fin 2019 (plus 4 400 réservistes) avec l'appui de 600 experts de la Direction générale de l'armement.

Le challenge du changement

Au-delà d’une prise de conscience collective sur l’importance à accorder à la cyberdéfense, la cohérence de la composante militaire cybernétique passe également par une évolution des mentalités. « Incontournable et coûteuse, la sécurité a longtemps été considérée comme une simple nécessité liée aux risques et aux usages [6]». Les menaces ont évolué et la cyberdéfense d’aujourd’hui n’est plus la Sécurité des Systèmes d’Information (SSI) d’hier. La vraisemblance de certaines menaces, hier impensables, devient aujourd’hui réalité. Pour écarter le risque, il convient de poursuivre la mise en œuvre d’une démarche proactive de conduite du changement des mentalités, afin de renforcer l’implication de tous au bénéfice du projet stratégique.

L’accès actuel aux différentes technologies cybernétiques représente un atout trompeur pour nos cadres et décideurs. « Si l’on se contente de l’opinion la plus répandue, la technologie constituerait l’atout décisif dans le combat [7]». Ce raccourci réducteur et néanmoins populaire, pourrait faire croire que les outils numériques en notre possession et le soutien industriel dans ce domaine sont suffisants, nous rendent intouchables et puissants. Le réel atout en cyberdéfense revient sur le principe intemporel de la ressource humaine spécialisée. Sans capital humain compétent et en nombre, nos unités et nos outils ne seront pas au maximum de leur potentiel.

Ensuite, à l’image de la société, des différences idéologiques peuvent exister entre les « pro-cyber » et les « anti-cyber ». Elles constituent une source de faiblesse. C’est un fait : les nouveaux usages cybernétiques contribuent à modifier les modes de fonctionnement, les conditions et le cadre d'engagement des forces armées, mais aussi la vie quotidienne des militaires. La sophistication des outils et la sensation de perte de contrôle peuvent inquiéter. Un piège idéologique peut se créer : « L'épreuve du feu est souvent cruelle pour les nouvelles idées. Les premiers emplois de chars par les Britanniques en septembre 1916 et les Français, le 16 avril 1917 (76 engins détruits sur 121) sont désastreux. La première grande opération aéroportée alliée, en 1943 en Sicile, est un fiasco [8]».

La filière cyber est caractérisée par un dynamisme général. Les technologies et les ressources évoluent sans cesse. Les nouvelles compétences se confrontent aux nouvelles attentes. Les tout-récents combattants numériques sont largement issus des générations Y et Z qui ne peuvent vivre sans rechercher perpétuellement des signes de reconnaissance. Ces « générations connectées » font l’objet d’études et de nouvelles approches managériales dans le secteur privé. Leurs besoins en marque d’attention et en recherche de sens dans leur travail sont primordiaux pour obtenir leur adhésion. Le moteur de leur engagement passe donc par une attention particulière malgré, en cyberdéfense, le peu de visibilité de leur domaine d’action.

Si cette reconnaissance interne est utile pour les ressources de cyberdéfense, elle devient déterminante pour attirer et fidéliser les futurs combattants numériques.

La conquête des ressources

Le véritable champ de bataille pour la composante de cyberdéfense se situe au plan du recrutement de compétences techniques de haut niveau. Tous les acteurs privés et publics rencontrent aujourd’hui des difficultés pour attirer du personnel dans un domaine à forte concurrence sur le marché du travail. Une étude basée sur le retour de 19 000 spécialistes de la sécurité informatique estime que 1,8 million de ressources qualifiées en cybersécurité devraient manquer dans le monde d’ici 2022 [9]. Une prévision revue à la hausse de 20% par rapport à 2015. Cette pénurie engendre un déficit à l’embauche et une baisse de la qualité du personnel recruté. Or, les capacités opérationnelles cybernétiques dépendent directement de la ressource humaine spécialisée. La rareté des ressources impose donc d’accroître l’attractivité de la filière de cyberdéfense en apportant plus de clarté sur le domaine et de visibilité sur les parcours professionnels proposés.

Au niveau mondial, comme en France, les profils spécialisés en cybersécurité sont donc très convoités. « Seulement 25% des besoins en recrutement dans le secteur étaient couverts en 2015 [10]».

« La pénurie continuera pendant au moins 5 ans [11]». Il est et il sera difficile d’attirer et de fidéliser les compétences. Les offres sur le marché de l’emploi sont pléthoriques et proposent des niveaux de rémunération difficilement égalables. « Un technicien support de niveau 1 dans un Security Operations Center (SOC) peut toucher annuellement autour de 40 000 euros, un analyste de niveau 3 peut prétendre à 65 000 euros, tandis que le responsable du SOC n’aura pas de mal à trouver un poste autour de 80 000 euros [12]». Des grands groupes comme EADS, Thales, Orange, Sogeti, Alcatel-Lucent, Capgemini, etc. recrutent intensivement des ressources convoitées. Pour être attractive, une grille indiciaire adaptée ou une prime de technicité sont des pistes de solution. La Gendarmerie et le ministère des Finances valorisent ainsi ces profils rares.

Cette tension sur des profils très convoités impose de trouver d’autres leviers d’attractivité. Le défi gagnant pour les forces armées consisterait à créer un vivier jeune et diversifié, familiarisé avec les enjeux et missions du ministère des Armées. Pour capter une ressource rare sur le marché de l'emploi, il convient d’attirer et de fidéliser les plus jeunes avant qu’ils n'arrivent sur le marché de l'emploi. Le recrutement d'une ressource jeune permet de l’acculturer aisément au domaine militaire et, surtout, de la fidéliser au plus tôt en proposant aux candidats un esprit de corps et des statuts qui leur donneront l’envie de s’engager sur le long terme. L’idée reste de motiver et d’impliquer les potentielles recrues en leur offrant un accompagnement et des possibilités d’évolution au mérite. Cette dernière leur permettra de relever des défis personnels et professionnels durant leur parcours et de maintenir leur adhésion. La conquête des effectifs se fera avec des jeunes sensibilisés à la spécificité militaire, à qui ont été offertes des perspectives claires et des marques de reconnaissance grâce auxquelles ils se sentiront impliqués et valorisés.

Si le manque de candidats est une cause majeure de difficultés au recrutement, « la problématique principale ne se situe pas dans un nombre de places ou de formations (initiale ou continue) insuffisant, mais plus globalement dans l’attractivité des formations et de la filière [13]». Cette problématique touche tous les recruteurs. Les candidats sont des lycéens et des étudiants en quête de visibilité et de reconnaissance. Il convient donc d’orienter les bons profils vers les formations en cybersécurité du ministère des Armées qui leur correspondent, afin de répondre aux besoins métiers et aux attentes de l’institution militaire. Cela constitue un point décisif dans l’atteinte de l’état final recherché.

Enfin, une valorisation des métiers de la cyberdéfense est nécessaire pour le recrutement, mais également pour la fidélisation.

LE DEFI DE LA FIDELISATION

Si un recrutement jeune et diversifié est un prérequis indispensable pour obtenir un modèle RH cohérent sur le temps long, il est impératif de veiller à la préservation de cette ressource rare. Le « turn-over » est considérable dans ce domaine. La fidélisation est au cœur des préoccupations pour rentabiliser l’investissement fait sur ces ressources. Leur volatilité naturelle est telle qu’elle pousse à identifier des initiatives audacieuses. La fédération de ces initiatives structurera et permettra de développer une filière stratégique.

Afin d’entretenir leur vivier de spécialistes, les armées perfectionnent des filières de formation concentrées sur les différents profils recherchés (sous-officiers, officiers et civils de la Défense). Ces dispositifs de formation qui s’appuient sur un investissement « gagnant-gagnant » constituent une aide considérable pour lutter contre le taux d'attrition de cette filière. L’attribution de qualifications reconnues au répertoire national des certifications professionnelles, avec une garantie d’emploi en sortie de scolarité, est un levier déterminant pour sanctuariser son vivier cyber. L’exemple du lycée militaire de Saint-Cyr-l’École est intéressant. Lancé à la rentrée 2017, un BTS cyberdéfense, unique en France, offre des possibilités de débouchés professionnels au sein du MINARM. Le 31 août 2015, les écoles militaires de Saint-Cyr Coëtquidan ont procédé au lancement du mastère spécialisé « Opérations et gestion des crises en cyberdéfense ». L’armée de terre a développé l’attribution de bourses d’études afin de permettre à des étudiants en cybersécurité de réaliser leurs études dans un domaine qui les passionnent, avec un premier contrat professionnel au sein de l’armée de Terre.

La création du Pôle d’excellence cyber en Bretagne (PEC), valorisé par différents partenariats entre entreprises, unités du MINARM et établissements d’enseignement supérieur, constitue une initiative déterminante pour faciliter l’entrée dans la filière et susciter des vocations sur la durée. L’attractivité régionale est un choix porteur, à l’instar de la Silicon Valley aux Etats-Unis. Le développement du Pôle Bretagne permet de servir de support à la construction de parcours professionnels qualifiants et cohérents alliant la satisfaction des besoins en compétence du MINARM et la mobilité des agents civils et militaires [14]. De plus, les partenariats signés dans le cadre du PEC pourraient offrir des possibilités de détachements de personnel militaire dans des sociétés de référence implantées sur ce pôle. Comme le fait la Gendarmerie auprès de grands comptes, cela permet de proposer des expériences et des retours d’expériences enrichissants pour toutes les parties.

Au sein du MINARM existe un filon encore sous-exploité : la réserve citoyenne et opérationnelle de cyberdéfense contribue à développer la diversité des parcours dans la cyberdéfense. Ce levier permet de fidéliser des ressources difficilement accessibles, voire intouchables, par le recrutement militaire direct : consultants, employés, chercheurs, etc. Elle a pour objectif d’apporter des visions, des expériences et des compétences complémentaires aux ressources déjà acquises, tout en permettant de rayonner. C’est déjà une réussite car elle concerne plus de 4 400 personnes en 2019. Mais c’est encore un défi car il faut pouvoir fidéliser ce personnel sur le long terme. L’attractivité de cette voie doit être entretenue pour capter des personnes passionnées par le cyber et sensibilisées aux enjeux nationaux.

Plus que dans tout autre domaine opérationnel, la conquête des effectifs doit être l’objectif premier qui guide la cyberdéfense. Pour dépasser les difficultés conjoncturelles et offrir un modèle équilibré répondant aux besoins de la France sur les prochaines décennies, il faut capitaliser sur les initiatives prometteuses dans le recrutement, la formation, la fidélisation et la reconnaissance interne. De la capacité à relever ce défi pourrait dépendre demain le succès des prochaines opérations cybernétiques.

—————————

[1] Voir Annexe.

[2] Id.

[3] Id.

[4] « Renforcer les ressources humaines dédiées à la cyberdéfense et construire les parcours professionnels associés ».

[5] Ibid.

[6] Publication Sopra Steria.

[7] JOZEFOWICZ, Henri, Technologie : l’atout trompeur, Défense et technologies, Cahiers Pensée mili-terre, numéro 48 – 3ième trimestre 2017, Centre de Doctrine et d’Enseignement du Commandement, page 3.

[8] Des électrons et des hommes, Cahier de la recherche doctrinale, Centre de doctrine d’Emploi des Forces, 2005, page 11.

[9] International information Systems Security Certification Consortium (ISC2), « Global Cybersecurity Workforce Shortage to Reach 1.8 Million as Threats Loom Larger and Stakes Rise Higher », https://www.isc2.org/News-and-Events/Press-Room/Posts/2017/06/07/2017-06-07-Workforce-Shortage, consulté le 08 septembre 2018.

[10] Estimation ANSSI, Les Echos.fr, « Cybersécurité : recherche candidats désespérément », janvier 2016.

[11] David Majorel, cité par par Philippe Richard, « La France manque d’experts en sécurité informatique », rubrique Informatique et Numérique des Techniques de l’ingénieur, https://www.techniques-ingenieur.fr/actualite/articles/france-experts-securite-informatique-39712/, consulté le 08/09/2018.

[12] Ibid.

[13] Etude « Formations et compétences en France sur la cybersécurité » réalisée par le cabinet EY pour le compte de l’Observatoire Paritaire de l’Informatique, de l’Ingénierie, des Etudes et du Conseil (OPIIEC), RAPPORT D’ETUDE Mai 2017, page 70.

[14] Axe 3 du pacte Défense cyber.