Le point sur les certifications en matière de formation à la cybersécurité 

Au sens large, la certification est la reconnaissance par un tiers d’un niveau soit de conformité, soit de compétence, soit de performance. Dans le cadre de la formation en cybersécurité, la certification permet de valider les acquis d’un stagiaire à l’issue d’une formation. Pour lui, la certification est la garantie d’avoir une certaine visibilité sur le marché du recrutement. Pour l’employeur, c’est l’assurance que le collaborateur a le socle de compétences requis pour exercer ses missions.

Gestion de projet ou métiers techniques : à chaque profil ses formations

De nombreux métiers de la cybersécurité sont en tension. Face à ces pénuries, certaines entreprises mettent en place des programmes de transformation des compétences. Des collaborateurs avec un profil technique vont se voir proposer des orientations de carrière en rapport avec la cyber. La certification permet d’accompagner la transition professionnelle des collaborateurs et de s’assurer qu’ils sont à même d’exercer leur nouvelle activité en fin de formation.

Le panorama des certifications correspond donc aux différents métiers de la cybersécurité. Même si on les associe souvent aux métiers de la gouvernance, du pilotage (et donc à des catégories de métiers comme DSI, RSSI ou Chef de projet), il existe aussi des certifications sur les aspects techniques, qui vont être dédiées à des techniciens sécurité, à des ingénieurs sécurité, à des auditeurs. Ce sont les certifications « métiers ». Enfin, d’autres certifications sont liées à des éditeurs : elles certifient les collaborateurs sur l’utilisation des équipements.

La certification crédibilise et valorise des compétences sur le marché

Comme ce sont des métiers neufs, il est aisé de se perdre dans les compétences à rechercher, pour les recruteurs comme pour les RSSI. Tous les jours, de nouveaux enjeux de sécurité apparaissent, de nouveaux besoins se font sentir : dans l’univers des SOC (Security operations center), de la supervision, du défensif, du management, etc. Les certifications orientées sur des spécialisations précises (méthodologie d’analyse des risques, mise en place de stratégies de gouvernance, mise en place de certifications d’infrastructure, amélioration de la relation avec les fournisseurs, déploiement des outils de pilotage…) sont un peu comme la lumière d’un phare dans le brouillard. Elles rassurent sur la pertinence des profils à approcher, au regard des compétences recherchées.

Les certifications sont également un tremplin pour intervenir à l’étranger. Les formations certifiantes appartiennent à des organismes (souvent des organisations professionnelles) de rang mondial qui délèguent à d’autres organismes le soin de délivrer cette formation au niveau local, avec passage d’examen. Parmi les plus connus, on peut citer l’EC-Council, la norme ISO ou la certification CISSP (Certified Information Systems Security Professional). Ces certifications deviennent de véritables référentiels communs dans tous les pays du monde.

Attention à l’investissement temps !

Certaines certifications imposent de se maintenir continuellement à niveau. Il peut y avoir des notions de parcours, avec des programmes qui ont une cohérence, une logique. D’autres requièrent de pouvoir attester d’une certaine activité, avec des points qui peuvent être gagnés en assistant à des conférences ou en poursuivant sa formation. Ce système de points permet de s’assurer que la personne certifiée reste active dans son apprentissage. Cela oblige à faire une veille constante pour se maintenir à niveau.

Beaucoup de certifications demandent un investissement en temps non négligeable. Les certifications EC-Council ou ISACA, par exemple, sont des examens qui se bachotent. Après une semaine de préparation à l’examen, les stagiaires ont encore quelques semaines supplémentaires de travail personnel à fournir pour être sûr de réussir. A contrario, pour d’autres certifications comme les ISO 27000, les examens se passent le cinquième jour de la formation. Dans tous les cas, il convient de se renseigner sur les différents formats d’examen (QCM, réponses ouvertes, épreuves à résoudre…) avant de s’engager dans une démarche certifiante.

De l’importance de compléter la certification d’une formation pratique  

Il faut savoir que les programmes certifiants ne sont pas les seuls dignes d’intérêt pour se former aux métiers de la cybersécurité. Ces derniers demandent souvent autant de savoirs théoriques que de savoir-faire pratiques. Or, il est vrai que les formations sanctionnées par un examen sont réputées pour dérouler un programme officiel, créé par l’organisme certificateur de référence. Les formations non certifiantes peuvent aller plus loin dans la pratique, dans ce qu’on appelle « les travaux dirigés » ou TD. Le formateur peut prendre le temps de construire des challenges ou d’adapter plus facilement le contenu pédagogique du programme à la situation personnalisée d’une entreprise.

Il y a donc une vraie complémentarité entre les formations certifiantes et les formations non certifiantes. La certification apporte la reconnaissance d’un socle de compétences, les autres programmes permettent d’aller plus loin dans la pratique, l’approfondissement de la réalité du terrain et l’expérience du métier.

L’avantage des certifications est leur degré de reconnaissance sur le marché, notamment à l’international. Les certifications les plus connues (ISO, EC-Council, ISACA, CISSP) comptent des dizaines de milliers de certifiés à travers le monde. Mais elles ne doivent pas occulter pour autant l’autre aspect de l’apprentissage du métier : la pratique. Un cursus de formation à la cybersécurité doit se construire d’un point de vue global, en trouvant le juste équilibre entre les apports théoriques et l’exercice du métier en conditions réelles. Donc, la certification oui… mais pas que !