Cybersécurité : quand la pénurie de « talents » a bon dos

À Lannion (Côtes-d’Armor, 20 000 habitants), on entend parler du recrutement d’ingénieurs spécialistes de la cybersécurité par centaines… et on ne voit rien venir. Dès l’annonce, en 2015, du rachat d’Alcatel-Lucent par le géant finlandais des télécoms Nokia, ce dernier s’était engagé à faire de Lannion un centre mondial de cybersécurité consacré aux réseaux de télécommunications, le cœur de métier d’Alcatel-Lucent. L’engagement a été réitéré en octobre 2020 quand il s’est agi, après une intense mobilisation des salariés, des élus locaux et du gouvernement, de compenser l’impact du plan de licenciement par la création de 97 postes d’ingénieurs pour un centre européen de compétences en cybersécurité.

Une crise des compétences qui ne date pas d’hier

« La première fois, on y croyait, mais on s’est aperçus au fil du temps que Nokia ne tiendrait pas son engagement », commente Philippe Mulot, délégué syndical central Cgt Nokia à Lannion. « Aujourd’hui aussi, il y a des signes qui nous font douter », abonde Benoît Dumont, de l’union départementale Cgt. Pour le syndicat, la pénurie de compétences en cybersécurité a bon dos et la réalité du phénomène, à l’échelle mondiale, ne dédouane en rien l’entreprise. Ce constat rencontre celui de l’Association de la sécurité des systèmes d’information (Issa), pour laquelle, au niveau international, « la crise des compétences en cybersécurité se poursuit pour la cinquième année, perpétuée par le manque d’investissement des entreprises ».

Selon un rapport sénatorial de juin 2021, « bien que la France ne souffre pas de retard en matière de formation à la cybersécurité, la croissance est telle dans ce secteur que les compétences sont difficiles à trouver ». Comme tout cycle technologique, celui-ci engendre une concurrence mondiale pour « attirer les talents ». Une concurrence mondiale qui se prive néanmoins des talents féminins. Ainsi, en France, les femmes ne représentent que 11 % des professionnels de la cybersécurité.

Sur 112 créations de postes annoncées, 17 recrutements actés

Le secteur de la cybersécurité étant nouveau, son développement passe nécessairement par la formation. « Quand une entreprise veut créer une nouvelle activité avec une centaine de personnes, elle gère son projet et met en place un plan de formation », estime Philippe Mulot. Mais, au fil des réunions du Cse, les ambitions s’étiolent : de 112 postes annoncés en octobre 2020 pour Lannion et le site de Nozay (Essonne), on passe à 50 postes en juin 2021. « Au Cse extraordinaire de Lannion le 31 août, la direction annonce que les embauches seraient conditionnées à une demande forte de business et s’échelonneraient jusqu’à fin 2022 ! écrit la CGT Nokia dans son bulletin paru en septembre 2021. Exit donc l’ambition d’un pôle cyber européen piloté depuis la France ! Le nouveau bilan est de 17 recrutements actés, 10 internes et 7 externes, 13 à Lannion et les autres à Nozay. » Philippe Mulot ne méconnaît pas les difficultés de recrutement, dues notamment à la concurrence entre les entreprises pour les recrutements externes des candidats, malgré la qualité de vie sur le littoral breton et l’attractivité de Rennes ou de l’Île-de-France.

Les salariés prêts à faire des efforts, Nokia beaucoup moins

Les délégués syndicaux plaident donc pour la formation des ingénieurs maison, comme en 2007-2008 lors de la fusion d’Alcatel et de Lucent ; une trentaine de personnes de Lucent étaient venues à Lannion former aux réseaux mobiles et radio leurs nouveaux collègues, experts en réseaux fixes. Selon une enquête de la section Cgt de Nokia auprès de 322 salariés lannionnais, 225 (70 %) se disent intéressés par un poste dans la nouvelle activité de cybersécurité, 99 annoncent disposer de compétences dans le domaine et 208 estiment avoir besoin de formation. « Les salariés sont prêts à faire des efforts, Nokia préfère les recrutements externes, mais ça ne marche pas car il y a pénurie de compétences », assène Philippe Mulot.

« Le catalogue de formation interne propose juste de l’initiation à la cybersécurité, ce n’est pas à la hauteur, complète-t-il. Quant au compte personnel de formation [Cpf], il ne permet pas de se former à ce niveau-là. Il faudrait au moins entre trois et six mois de mise à jour en école d’ingénieurs. Pour un spécialiste de la cyber, il est plus difficile d’acquérir des compétences télécoms que l’inverse ; le spectre des réseaux télécoms est énorme, Nokia et Huawei sont les seules à être présentes sur l’ensemble des réseaux. »

En Bretagne, l’École nationale supérieure d’ingénieurs de l’université de Bretagne Sud (Ensi-Bs), pionnière en cybersécurité, forme, depuis 2013, des spécialistes en trois ans, à partir de bac + 2. « Ce qui les distingue des informaticiens génériques, ce sont des compétences dans l’analyse de la menace, la sécurité intégrée dès la conception, la cryptographie, la gestion de crise, les tests d’intrusion ou la rétroconception pour comprendre le fonctionnement des logiciels malveillants », précise Benoît Gaudicheau, chargé des formations en alternance en cybersécurité à l’Ensi-Bs. Côté formation continue, l’écosystème breton s’est récemment enrichi de Mastère (treize mois) en cybersécurité à Rennes et à Brest.

L’impasse des négociations sur la gestion des emplois et des parcours professionnels

« Depuis 2016, Nokia aurait pu mettre en place une stratégie gagnante plutôt que de repousser vers les salariés la responsabilité de se former par leurs propres moyens et d’assurer eux-mêmes leur employabilité, dénonce Philippe Mulot. La gestion des emplois et des parcours professionnels [Gepp, ex-Gpec] est la solution, mais Nokia refuse et, pour la deuxième fois, les négociations sont une impasse. » Le délégué assure pourtant que, dans le cadre du plan de sauvegarde de l’emploi, Nokia finance des formations de haut niveau en cybersécurité et que certains collègues seraient ainsi passés à la concurrence.

Au bout du compte, les délégués syndicaux se raccrochent au recrutement d’une dizaine d’alternants, aux travaux sur la Gepp territoriale, au soutien de la technopole locale Anticipa et à l’annonce du plan de relance gouvernemental, qui abondera le centre européen de cybersécurité promis par Nokia à hauteur de 10,5 millions d’euros. « Le cabinet du ministre nous dit que l’argent ne sera débloqué qu’au fur et à mesure des réalisations, mais on préférerait une conditionnalité des aides publiques », indique encore Benoît Dumont. « Il n’y a toujours pas de manager en cybersécurité à Nokia Lannion, alors, nous, nous nous posons toujours la question de la volonté réelle de l’entreprise », conclut Philippe Mulot.

Stéphanie Stoll