[Interview] Licenciements dans la cybersécurité : "On est sur du court-termisme, sans lien avec la technologie"

450 licenciements chez Sophos mi-janvier, 300 chez Lacework en mai dernier, près de 1000 chez OneTrust… Depuis un an, les licenciements se sont multipliés dans les entreprises américaines de cybersécurité. Pas de quoi s’inquiéter, selon Alain Bouillé, délégué général du Cesin, le Club des experts de la sécurité de l’information et du numérique. Pour lui, ces licenciements ne reflètent absolument pas l'état de santé du secteur, florissant depuis la crise sanitaire. En France, le problème est plutôt inverse : "Plusieurs dizaines de milliers de postes ne sont pas pourvus", rappelle-t-il.

L'Usine Digitale : Ces annonces de licenciement dans le secteur de la cybersécurité vous inquiètent-elles ?

Alain Bouillé : Je ne suis pas très inquiet de ces chiffres, qui montrent surtout la façon dont les actionnaires pilotent leur entreprise, à grands coups d’embauches et de licenciements en fonction du cours de la bourse. Dans l’économie américaine, la variable d’ajustement la plus simple à actionner est la masse salariale. Il n’y a aucune raison que les fournisseurs de solutions cyber échappent à cela. Quand une entreprise licencie des milliers de personnes, cela ne veut pas dire que sa technologie est "has been", mais qu’il y a peut-être un trop-plein d’investissements, de R&D, des coûts qui diminuent les revenus des actionnaires... On est la plupart du temps sur du court-termisme, il n’y a pas de lien avec la technologie développée par l’entreprise.

Ce qui m’interpelle davantage, c’est qu’il y a bien eu une évolution dans les produits proposés : certains, qui avaient le vent en poupe il y a quelques années, ne l’ont plus maintenant. Si vous regardez les résultats du dernier baromètre du Cesin, l’engouement est bien présent si vous êtes fabricant d’EDR ["Endpoint detection and response", un logiciel de détection des menaces informatiques, ndlr] ou de MFA [authentification multifacteurs, ndlr].

Les EDR supplantent les anti-virus classiques. Ces outils se développent considérablement, tous les auteurs de ces outils embauchent à tour de bras. Aussi, quand une boîte dit : "Je licencie 1 000 personnes ici, 500 là", je ne suis pas très inquiet. Il y a un principe de vase communicant avec ces technologies en plein essor.

A l’inverse, quelles technologies sont en déclin ?

Nous observons dans le baromètre du Cesin une certaine décroissance de l’utilisation des VPN. Autrefois, en cas de travail à distance, il permettait de créer un tunnel entre l’ordinateur de l’utilisateur et le système d'information de l’entreprise. Avec l’avènement du cloud et la crise sanitaire, le VPN a pris un coup de vieux : quand vous vous connectez depuis chez vous avec votre VPN, et qu’une fois dans le réseau de l’entreprise, vous retournez sur Internet consulter votre messagerie, le VPN ne sert plus à rien.

Autant sécuriser directement l’accès internet du PC de l’utilisateur, depuis le point internet par lequel il se connecte et non celui de l’entreprise. Il y aura toujours des VPN, car les entreprises auront toujours des data centers, mais on en aura moins besoin.

Pourquoi les embauches dans la tech, y compris dans la cybersécurité, avaient-elles augmenté pendant le pic de la crise sanitaire ?

Le digital, et la cyber en particulier, ont connu un véritable boost pendant la crise sanitaire : tout ce qu’on n’avait pas réussi à mettre en œuvre jusque-là, on l’a fait en un temps record. Pendant les confinements, il était vital que les utilisateurs arrivent à utiliser des outils de partage et de stockage des données. Toute cette digitalisation galopante s’est forcément accompagnée de nombreux dispositifs de sécurité, parce qu’il fallait protéger la cloudification. Dans le sens inverse, les budgets IT ont diminué parfois fortement, car beaucoup d’activités se sont arrêtées pendant cette période.

Si vous regardez les résultats de notre baromètre, on voit bien que le cloud génère toutefois de nouveaux problèmes. Vous exposez davantage vos données, vous avez des problèmes d’authentification… Beaucoup d’entreprises ne sont pas satisfaites de la sécurité proposée par défaut sur le cloud et achètent des outils supplémentaires. C’est la double peine pour elles, mais c’est une bonne nouvelle pour les éditeurs de solutions de sécurité. C’est bien pourquoi les licenciements dans le secteur ne m’inquiètent absolument pas.

Pourquoi ces licenciements ne concernent-ils pas la France ?

La crise en France est plutôt inverse : plusieurs milliers de postes ne sont pas pourvus dans la cyber. On a un problème de formation, qui n’est pas propre à la cyber d’ailleurs. Nous n’avons pas suffisamment anticipé le besoin d'ingénieurs dans le domaine, y compris d'ingénieures. Aujourd’hui, il n’y a pas un secteur dans la cyber qui soit correctement pourvu. C’est bon pour ceux qui sont en poste, car cela tire les salaires vers le haut. Et ce n’est pas l’intelligence artificielle qui va à elle seule régler le problème : les êtres humains restent indispensables.

Ce qui sauve l'emploi dans la cybersécurité, c’est le fait qu’il y ait beaucoup de reconversions, car le monde de l’IT évolue en permanence. Des informaticiens devenus obsolètes - parce qu’on a externalisé la messagerie, ou tout ou partie du data center - peuvent se reconvertir dans la cyber. Ces formations se font en à peine quelques mois, quand vous disposez déjà des connaissances de l’IT.

Il ne suffit pas, par ailleurs, de recruter les gens : il faut aussi les garder. Ce sont des métiers pointus, très techniques, dans lesquels il faut continuer d’intéresser les gens. Quelqu’un qui estime qu’on ne lui propose pas un challenge assez intéressant dans son entreprise partira, indépendamment du salaire qu’on lui propose.

Sélectionné pour vous

Airbus renonce à entrer au capital d'Evidian, la branche cyber qui va se scinder d'Atos

Google identifie deux nouvelles campagnes d'espionnage visant Android et iOS

DataDome lève 42 millions de dollars pour son système de détection des cyberattaques basé sur l’IA