Ecoles de cybersécurité en France : de l'hibernation à la saturation

Introduction

2020, sous-sol Parisien.

L'odeur familière du café emplit le bureau de la section N3 réseaux. Alors militaire, j'échanges avec mes collègues sur les perspectives futures et le choix, ou non, de quitter l'armée au sein de laquelle j'administre des serveurs parmi les plus sensibles du pays.

Quitter en 2021 afin de lancer la carrière en cybersécurité pour laquelle je me forme depuis maintenant 10ans ?

Ou rester 5 années de plus afin de me faire former en cybersécurité par l'institution ?

"Dans 5 ans les écoles auront sorti des promos entières d'ingénieurs en cybersécurité, la pénurie c'est maintenant." objecte finement un collègue.

5 années plus tard, on croirait voir une prophétie se réaliser. Aujourd'hui expert freelance en cybersécurité, je ne passe pas une journée sans recevoir un message LinkedIn d'un étudiant en cybersécurité cherchant désespérément une alternance ou un stage.

Mais que s'est-il passé en 5ans ? Ou en est-on ?

C'est ce que nous allons voir ici. Et spoiler alert : il y a encore du boulot.

Disclaimer : le contenu de ce post est issu de mon expérience et mes observations. L'absence de chiffres publics sur la répartition du corps enseignant, par exemple, ne me permet pas de faire davantage. Il peut toutefois s'agir d'une base de réflexion pour régler les problématiques liées à la formation en cybersécurité en France.

Constat

Début 2024, dans une tour à La Défense.

Alors consultant en cybersécurité chez Intrinsec, j'épluche les CV de mes potentiels futurs stagiaires. Tous se ressemblent plus ou moins : parcours linéaire et standard. Les scores CTF et projets open source mis en avant 10 années plus tôt sont remplacés par les projets scolaires. Tous aspirent à décrocher un stage en tant que pentester.

Il m'a fallu quelques entretiens pour comprendre qu'il y avait un problème.

"Donnez-moi les différents types d'injection SQL et leur fonctionnement."

Résultat : réponses approximatives et pas, ou peu, de pratique.

Pareil pour les XSS.

XXE ? Jamais entendu parler.

Les quelques candidats atteignant le stade des tests sur une application Web dédiée ne se démarquent pas vraiment. Utilisation de l'onglet développeur du navigateur au lieu d'outils adaptés, une moitié de vulnérabilités évidentes qui ne sont pas détectées, manque de méthodologie ... bref.

Aucun ou presque n'a réellement pratiqué sur des CTF.

J'ai finalement trouvé un bon stagiaire en plein BAC+6 qui avait 2 ou 3 années d'alternances derrière lui. Est-ce nécessaire ? Faut-il 6 années d'études pour avoir le niveau requis pour un stage de 5e année ?

Soyons clairs : je ne jette pas la pierre aux étudiants. Le problème est probablement ailleurs. C'est ce que j'ai pu confirmer plus tard, en tant qu'intervenant en école de cybersécurité.

Le cursus cyber

2025, première année à mon compte. J'enchaine les formations professionnelles, les tests d'intrusion et cours en école de cybersécurité.

Je dois avouer une chose : J'ADORE enseigner en école. Je me sens réellement utile et inspiré par plusieurs professeurs dans ma vie d'éternel étudiant. Lors de mes cours du soirs au Conservatoire National des Arts et Métiers, Nicolas PIOCH et Eric GRESSIER ont été des intervenants particulièrement inspirants dans leur manière d'enseigner.

J'ai donc pu découvrir la diversité d'écoles en cybersécurité ouvertes aux étudiants désireux de devenir expert dans ce domaine. "Diversité" est le maître mot. Certaines écoles offrent un cursus complet de 1an, 2ans, ce qui permet de faire le tour du sujet et donner des bases solides.

D'autres écoles enseignent l'informatique et finissent sur une coloration cybersécurité de ... 6 mois ? C'est très court, la plupart des étudiants ne savent pas encore s'ils veulent faire de l'offensif, du SOC, du conseil ou de la conformité. Le cursus doit donc leur donner un niveau suffisant dans toutes ces directions pour qu'ils puissent se faire une opinion sur ce qu'ils aiment ou non. Et 6 mois, ça passe vite. La plupart sortent en ayant survolé un peu tout, mais sans réelle maitrise. Ensuite, ils doivent composer avec ça en entretien.

Mettez-vous à leur place : vous êtes en M2 cybersécurité, vous devez trouver une entreprise pour y passer votre stage de fin de cursus, obligatoire pour passer le diplôme. Bonjour la pression. Les quelques entreprises qui répondent à vos candidatures vous recalent après l'entretien. En même temps, vous avez calé sur pas mal de questions techniques.

En janvier, le stress monte. Vous multipliez donc les envois de CV et les MP sur LinkedIn, mais rien n'y fait. Vous êtes noyés dans la masse des autres candidats.

Peu enviable, non ? En effet. Les heureux élus sont les mieux préparés, ou les passionnés qui ont appris d'eux-mêmes sur hackthebox. La majorité galère, encore et encore. Mais pour avoir le recul nécessaire pour se former tôt, il faut une bonne dose de maturité, ou les bons professeurs.

Intervenants professionnels VS professionnels de l'enseignement

En tant qu'intervenant externe en école, j'ai rapidement constaté que ce n'était pas la norme.

Une partie conséquente du personnel enseignant travaille à plein temps pour l'école. Plus pédagogues, me direz-vous ? Possiblement. Mais cela explique partiellement le ressenti que j'ai eu d'entrée de jeu : des étudiants très "scolaires" et absolument pas préparés à la vie professionnelle.

Un petit exemple : ne souhaitant pas voir mes étudiants galérer à trouver un stage, je les ai préparé au mieux. L'examen a été un TP noté de 3h. De la pratique, internet autorisé, ChatGPT autorisé (évidemment en m'assurant qu'ils l'utilisent correctement, j'ai mes astuces pour ça), support de cours autorisé. Je ne veux pas savoir s'ils ont retenu : je veux savoir s'ils savent faire, chercher, penser. Le rendu : un mini rapport professionnel.

Un constat s'est rapidement imposé. La majorité pensent comme des élèves. Cela se voit dans leur façon de rédiger un "rapport professionnel", leur approche storytelling justifiant au professeur des étapes suivies, leur utilisation irréfléchie de GPT, leurs questions fréquente sur "vous attendez quoi comme rendu sur cette question ? On doit le formuler comment ? Vous voulez une capture d'écran ou un copier coller pour telle section ?"

C'est un point commun entre les écoles ou je suis intervenu. Les étudiants ne sont absolument pas préparés à la vie professionnelle, et on leur demande de passer des entretiens pour trouver un stage obligatoire ? Pas étonnant qu'ils soient sous pression. Et ce n'est pas leur faute, l'école les formatte ainsi.

En tant que professionnel, je sais ce qui est attendu en entreprise. La nette impression qui m'a frappée en école est la suivante : les professeurs de carrière ont passé trop de temps hors du monde des entreprises et forment des élèves par promotions entières. Et malheureusement, in-fine, ce sont les étudiants qui trinquent.

De la même manière, les programmes ne sont pas toujours carrés. J'ai pu rencontrer des étudiants ayant suivi des cours de sécurité offensive mais n'ayant jamais touché à la sécurité d'une application Web. Savez-vous ce qui est demandé en premier à tout stagiaire qui souhaite faire de l'offensif ? Bingo. D'avoir les bases pour faire du TI Web.

Ces programmes ne sont généralement pas conçus par des intervenants professionnels externes. Il est indispensable de se rapprocher des exigences du monde réel lorsqu'on conçoit un programme de cybersécurité.

Une petite parenthèse pour terminer, on peut parler des fameux examens de code sur papier ? Je subissais ce genre d'examens en 2010 et, déjà à l'époque, je trouvais ce format inadapté et obsolète, surtout lorsque l'on perd un point pour un point-virgule manquant sur du papier qui ne souligne pas les erreurs de sytaxe.

Le budget et l'organisation

L'éternel problème, et plus particulièrement dans les écoles.

Vous êtes une école publique, ou partiellement publique ? Félicitations, vous dépendez en partie des subventions de l'Etat, qui sont rarement suffisantes. De plus, vous avez des contraintes organisationnelles ralentissant considérablement la moindre prise de décision. Et comme beaucoup de prestataires externes ont la fâcheuse tendance à vouloir un contrat signé avant le début de la prestation et être payé dans les délais, ça fait fuir pas mal d'intervenants compétents. C'est un problème que j'ai vécu, et que beaucoup de mes pairs connaissent. Très peu d'écoles se démarquent sur ce point.

Vous êtes une école privée ? Félicitations, vous êtes maitres de vos choix. En revanche, niveau financier, il va falloir compter sur les étudiants pour payer plus cher à l'inscription. Les mêmes étudiants qui mangent des pâtes pour rester dans le vert et, pour certains, ne trouvent pas de logement.

Quoi qu'il en soit, le budget reste une problématique encore plus impactante dans les écoles. Une prestation en école paye environ moitié moins qu'une formation professionnelle. Et je ne compte pas le temps de correction des examens ainsi que le temps de préparation des cours qui ne sont jamais inclus dans l'enveloppe. Cela pousse les intervenants à privilégier des prestations plus lucratives, comme les formations professionnelles.

Alors lorsqu'on me demande de produire un sujet de rattrapage gratuitement, je ne peux pas vraiment refaire 3h de transports pour surveiller 2h de rattrapage.

"C'est pas grave, faites un sujet QCM, fournissez-nous une correction et on s'en occupe."

Attendez ... quoi ? Je produis un cours qualitatif, un partiel pertinent, pour dire à mes étudiants "pas grave si vous ratez, vous pourrez passer la matière avec un QCM" ?

Le message qu'on m'a passé à demi-mot est le suivant : ça fait un taux de réussite plus élevé, donc ça les arrange un peu.

Le choix des métriques

Le taux de réussite : métrique incontournable. Mais quelle est sa pertinence ?

Je vais évoquer 2 points de vue : celui de l'étudiant, et celui de l'entreprise.

L'étudiant

Lors du choix de son école, il a plusieurs préoccupations. Parfois c'est le lieu s'il veut rester proche de sa famille. Parfois c'est son classement qui lui permettra de viser une école plus ou moins prestigieuse. Ou encore le prix de l'école, ce qui recoupe avec la section budget.

Ok mais à terme, il vise quoi ? Qu'attend-il d'une école de cybersécurité ?

La finalité est surtout de trouver un bon job, bien payé, et d'avoir les compétences requises pour décrocher ledit job.

Alors OK, une école a 98% de taux de réussite, une autre en a 40%. Sur le papier, l'une propose plus facilement le diplôme. Mais si c'est pour faire un trait sur les compétences en sortie, ça en vaut la chandelle ? Les étudiants les plus matures trouveront la réponse à cette question. Pour les autres ... dommage.

D'autant que, pour avoir échangé cette année avec des sociétés qui recrutent des pentesters, ils ne veulent pas de junior. Ils ont trop été déçus par le niveau observé en sortie d'école et souhaitent recruter moins, en priorisant les profils plus expérimentés.

L'entreprise

En tant que consultant, je recherchais un stagiaire compétent avant tout. Sur le CV, le nom de l'école m'importait peu. Ce qui m'intéressait, c'était le reste : des projets persos ? Un git ? Des contributions ? Des CTFs ? Tout ce qui montre un intérêt et une passion pour la cyber.

L'enjeu du recrutement, c'est de ne pas se tromper. Ok il y a la période d'essai pour ça, mais ce n'est pas magique. De plus, une période d'essai raté, c'est avant tout un double échec, pour le candidat comme pour l'employeur.

L'entreprise cherche donc un gage de qualité. "Une école réputée pour offrir un bon niveau en sortie ? Je signe. Peu importe que cette école ne sorte que 45% de diplômés, je sais que les sortants ont le niveau requis pour travailler pour moi. "

Là encore, le taux de réussite n'est clairement pas une métrique pertinente. Et pourtant, elle l'est aux yeux des écoles.

Que ce soient les entreprises ou les étudiants, tout le monde gagnerait à voir des écoles plus exigeantes envers leurs étudiants comme leur corps enseignant. A ce titre, plusieurs pistes complémentaires sont envisageables :

- Une plus grande fluidité dans les process internes afin d'attirer de meilleurs intervenants externes. Comme toute entreprise viable : signature du contrat et des bons de commande en amont de la prestation, facturation à l'issue, règlement de la facture dans les temps.

- Une exigence envers le corps enseignant qui doivent former des futurs professionnels, et non des élèves, avec tout ce que cela implique : s'adapter aux outils modernes, plus jamais d'examen de code sur papier, et rester à jour sur ce qu'attend le marché.

- Au moins une année complète de cybersécurité, idéalement 2 années. C'est le minimum pour former des professionnels de la cybersécurité. Ce n'est pas un milieu exigeant pour rien, ce n'est pas une vraie "spécialité" : c'est un vaste monde dans celui de l'informatique. Dire "je fais de la cyber", c'est comme dire "je fais de l'informatique" : ça peut vouloir dire "je suis pentester", "je suis analyste SOC", "je suis RSSI" ou "je commercialise des firewalls".

- Se baser sur des vrais indicateurs comme le taux d'embauche ou le salaire moyen en sortie, et non le taux de réussite qui est plus souvent signe d'économie ou de paresse. Les étudiants veulent une vraie formation et un job à la sortie. Les entreprises veulent des diplômés ayant une base de compétences adaptée.

Vers des standards plus élevés ?

Conclusion

Lorsque je faisais mes études en 2010, la seule école de cybersécurité se trouvait à Maubeuge. Aujourd'hui, il y en a des dizaines, inondant le marché avec des étudiants mal préparés.

L'objectif d'une école, à ce titre, est le même que n'importe quelle entreprise : régler un problème contre rémunération.

En améliorant le niveau d'enseignement supérieur dans ce domaine, nous pourrions donner au paysage cyber français les ingénieurs et masters qu'il mérite.

Nous pourrions donner aux étudiants l'avenir auquel ils aspirent.