« Tenir le choc » : enjeux et défis des formations en cybersécurité

Agilité, anticipation, résilience… Ces notions sont au cœur des formations en cybersécurité. Pour faire face à l’évolution des menaces, celles-ci doivent s’adapter en permanence. « Nous n’avons pas le choix », explique Reza Elgalai, directeur de l’Institut de technologie de formation et de recherche en cybersécurité (ITFoRCy) au sein de l’Université de technologie de Troyes (UTT) et responsable de plusieurs formations en cybersécurité de l’établissement.

« D’une année à l’autre, il peut être nécessaire de modifier les maquettes pour intégrer de nouveaux enseignements ou changer le volume horaire dédié à une thématique », précise-t-il.

« Cela va très vite », confirme Max Agueh, responsable des programmes cybersécurité à l’Efrei. L’école d’ingénieurs organise régulièrement des conseils de veille et de prospective pour s’informer des enjeux rencontrés sur le terrain et réfléchir à l’évolution des formations en tenant compte des recommandations formulées par les entreprises et les institutions.

Parmi les nouveaux défis identifiés, Reza Elgalai et Max Agueh citent l’essor des outils d’intelligence artificielle. Ceux-ci mettent la cybersécurité à l’épreuve en permettant d’automatiser, d’accélérer, d’intensifier et de sophistiquer les attaques (identification des vulnérabilités d’un système plus rapide, techniques de phishing et d’usurpation d’identité plus vraisemblables, complexification des logiciels malveillants, etc.). Les IA de type LLM (comme Chat GPT) peuvent également être prises pour cibles et créer des brèches de sécurité.

« Il y a aussi des atouts », note cependant Max Agueh. L’IA permet notamment de robustifier les systèmes de défense et d’améliorer la détection proactive des attaques par les pare-feux (firewalls). Les cours tiennent compte de cette ambivalence. « Aujourd’hui, nous formons les étudiants à l’utilisation de l’IA pour détecter des signaux faibles en cas d’intrusion et nous les sensibilisons aux attaques envers les LLM », indique par exemple Reza Elgalai.

Défi plus lointain, mais déjà au programme, l’arrivée d’ordinateurs quantiques possédant des puissances de calcul significativement plus élevées est aussi à anticiper. Dans quelques années, ils pourraient rendre obsolètes les systèmes de protection actuels. « Les étudiants doivent dès à présent être formés à la cryptographie post-quantique pour concevoir des algorithmes de protection plus robustes », estime Max Agueh.

Des compétences transversales

Au-delà des aspects technologiques qui évoluent rapidement, l’objectif est d’enseigner la résilience aux étudiants. Il s’agit, assure Max Agueh, de les préparer à « tenir le choc » face à des crises, notamment géopolitiques. « Les enjeux de cyberdéfense vont devenir de plus en plus importants, il faut leur donner un ensemble de capacités pour comprendre les systèmes et intégrer très vite les dimensions géopolitiques », détaille-t-il.

Loin du cliché du geek ne maîtrisant que le langage des machines, le professionnel de la cybersécurité doit posséder des connaissances interdisciplinaires et des compétences transversales. La capacité à communiquer est notamment essentielle.

« Il faut pouvoir restituer des rapports d’audit et sensibiliser les personnes que l’on a en face. C’est extrêmement important puisqu’aujourd’hui la grande majorité des attaques passent par des failles humaines », souligne Max Agueh.

Comprendre l’humain derrière l’attaque est également crucial pour se protéger, c’est pourquoi le mastère spécialisé « Expert en cybersécurité » de l’UTT dispense, par exemple, un cours de psychologie du cybercriminel. Le droit figure aussi parmi les enseignements et nécessite une veille active pour suivre les évolutions juridiques et réglementaires concernant le secteur.

Garantir la qualité des formations

Les profils d’étudiants aux compétences hybrides sont très recherchés par les entreprises. Alors que la demande augmente, celles-ci font face à une pénurie de professionnels qualifiés. Aujourd’hui, environ 25 % des postes en cybersécurité restent vacants, soit près de 15 000 emplois, selon le syndicat patronal du numérique Numeum.

Par ailleurs, seules 33 % des personnes travaillant dans ce domaine ont un diplôme en cybersécurité et 37 % une certification, d’après le rapport 2025 de l’Observatoire des métiers de la sécurité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Cela devrait toutefois évoluer puisque les formations en la matière se multiplient et attirent de plus en plus d’étudiants. Il en existe des centaines allant des diplômes d’État aux certifications internationales, en passant par des programmes courts ou en alternance.

Afin d’améliorer le référencement des cursus de niveau bac + 3 à bac + 6 en sécurité du numérique, l’ANSSI a lancé en 2016 le label « SecNumEdu » qui vise à garantir aux étudiants et aux employeurs qu’une formation respecte bien une charte et des critères définis par l’agence, en collaboration avec les acteurs de la filière. Actuellement, 70 labels sont actifs.

« C’est un gage de qualité. Il atteste de la pertinence de la formation », estime Max Agueh. À l’Efrei, les mastères spécialisés et les bachelors grade licence détiennent ce label. « L’objectif est que toutes nos formations l’obtiennent », précise le directeur des programmes. Pour le décrocher, les formations doivent constituer un dossier conséquent. La démarche est chronophage mais Max Agueh y voit un intérêt parallèle : « cela permet aussi à la formation d’identifier les angles sur lesquels elle doit s’améliorer ». Le processus est à recommencer tous les trois ans pour renouveler le label.

Bien que les formations de l’UTT aient été parmi les premières labellisées, Reza Elgalai est plus critique quant au label. Ancien membre du groupe de travail de SecNumEdu, il déplore aujourd’hui que l’attribution du label repose sur un système « purement déclaratif ». « Je trouvais que c’était très bien jusqu’à ce que j’entende que beaucoup de formations labellisées ne faisaient pas du tout ce qui était indiqué dans leur dossier », explique-t-il. Il appelle donc à plus de contrôle et conseille en attendant aux étudiants en phase d’orientation de se renseigner sur les formations auprès des alumni.

« On n’apprend pas la cyber sur du papier »

Des réflexions sont toutefois en cours entre l’ANSSI et le Campus Cyber pour résoudre ce problème de déclarations erronées, croit savoir Reza Elgalai. L’enseignant tient par ailleurs à souligner qu’une formation labellisée est « à la base gage de qualité » et, insiste-t-il, « gage de pratique, parce que l’on n’apprend pas la cyber sur du papier ».

La mise en pratique est en effet un des critères d’attribution du label SecNumEdu. Les formations doivent y consacrer plus de 200 heures ou plus de 50 % de leur contenu (hors stage), indique l’ANSSI. Pour assurer ces enseignements, l’UTT et l’Efrei emploient notamment des intervenants professionnels qui font travailler les étudiants sur des cas réels anonymisés. Ces intervenants peuvent être difficiles à recruter en raison de la pénurie de « talents », mais des alumni fidélisés viennent volontiers « chasser des têtes dans les promotions », s’amuse Reza Elgalai.

Les écoles ont aussi besoin d’infrastructures dédiées pour permettre aux étudiants d’expérimenter en toute sécurité. L’UTT dispose par exemple d’une plateforme pédagogique de 100 m², le HackLab, accessible aux étudiants en mastère spécialisé et aux gendarmes de la licence professionnelle « Enquêteurs technologies numériques ». Cette salle est notamment équipée de machines de pointe, de logiciels sous licences et d’un réseau fermé étanche permettant d’effectuer des analyses de codes malveillants et des simulations d’attaques informatiques sans risquer de contaminer les serveurs de l’université. L’ensemble doit être renouvelé régulièrement pour suivre les évolutions technologiques.

Cela représente un coût élevé (entre 100 et 130 000 euros par an) et représente un défi pour l’établissement public qui fait appel à la générosité de mécènes via la fondation de l’UTT. Les alumni reconnaissants font partie des donateurs. « C’est un écosystème qui s’autoalimente », se réjouit Reza Elgalai.

La cybersécurité gagnerait toutefois à sortir des milieux spécialisés pour toucher l’ensemble des étudiants. « Il est essentiel d’intégrer la sensibilisation à la cybersécurité à toutes les formations parce que nous utilisons tous des outils numériques », prêche Max Agueh. « Tout établissement peut mettre en place un module d’une dizaine d’heures pour les apprenants », estime-t-il. Des ressources gratuites existent à cet effet. L’association CyberEdu, portée par l’ANSSI, propose par exemple des mallettes pédagogiques couvrant les bases de la sécurité de l’information.