Voilà un des premiers choix structurants pour un senior qui bascule vers la cybersécurité: Faut-il viser une reconversion, ou une adaptation?
Ce choix va impacter d’abord le type de formation à réaliser, leur durée mais aussi le type de postes possible, donc de carrière, le type d’entreprise susceptible de recruter…
Reconversion vs adaptation
Posons le problème de façon caricaturale en présentant les deux extrêmes. La réalité est bien entendu plus complexe, avec une variation continue entre les bornes.
Étudions Briac, 48 ans, ingénieur avec une forte appétence technique, développeur logiciel confirmé dans le monde vidéo temps-réel. Curieux, il comprend les bases de la compression vidéo, a des notions de cryptographie, de boot sécurisé. Bref, il est adaptable. (Voir Les personas initiaux pour une description plus complète Briac)
La reconversion:
Briac veut devenir RSSI. Il effectue une formation longue, par exemple le mastère de Centrale-Supelec ou celui de l’UTT, de façon à changer radicalement de domaine d’activité et être performant immédiatement.
Son nouveau job a très peu de relation avec son ancien rôle: Il ne développera plus, pourra même oublier Java et C++. Son nouveau centre d’intérêt est la cybersécurité.
L’adaptation
Briac est un bon développeur, c’est sa force et sa valeur sur le marché. Son expérience lui permet de comprendre des nouveaux domaines d’application. Il effectue une formation courte en cybersécurité, car il veut trouver un emploi dans ce domaine d’activité, par exemple chez un éditeur de solutions, et être compétent dans son nouveau domaine, comprendre les enjeux, les technologies sous-jacentes.
Dans un premier temps, il va continuer à développer de façon efficace, peut-être un firewall, un outil de détection d’intrusion. Cette activité lui permettra de comprendre en profondeur l’activité de son nouvel employeur, et sans doute de se spécialiser encore plus, par exemple en devenant pentesteur ou reverseengineer.
Son centre de compétence reste le développement logiciel: Il est simplement appliqué à un nouvel univers, qui a ses propres règles et logiques.
La sensibilisation
Briac veut continuer à développer, et n’envisage pas nécessairement de travailler dans le domaine de la cybersécurité, mais il sait qu’une compétence cyber lui permettra de développer le logiciel de façon plus sûre, rigoureuse, et de mettre au point des outils/sites web/services… qui seront plus stables et résistants aux attaques.
Donc Briac veut comprendre les risques, les enjeux, les principales attaques, il se formera aux techniques de développement sécurisé, creusera peut-être la cryptographie pour saisir en profondeur les algos d’encryption et de hashage.
L’aptitude au développement logiciel
C’est un des points clef de la prise de décision. Bien entendu, comme toute activité, la cybersécurité ne se réduit pas au développement logiciel. Mais le développement est très connexe à la cybersécurité: Une grande partie des attaques, et des réponses possibles sont basées sur des outils informatiques.
De nombreuses formations ont donc un pré-requis: la capacité à développer de cours programmes, par exemple en python. Une réticence rédhibitoire au développement va donc fermer un certain nombre d’opportunités.
La matrice
Une première intuition, à confirmer, des rôles les plus classiques et des types de formation dans les différents cas.
Pour les définitions de postes, voir https://www.ssi.gouv.fr/particulier/formations/panorama-des-metiers-de-la-cybersecurite/
