Formations en sécurité au Québec – quand rien ne va plus!

formations

Qu’est-ce qui arrive avec les formations en sécurité offertes au Québec? Lisez les constats faits par une société spécialisée en formations en SI.

Septembre, c’est le mois de la rentrée scolaire au Québec. Les jeunes retournent en classe pour parfaire leur éducation. C’est aussi le début d’une nouvelle saison dans les domaines sportifs et télévisuels. Pour les spécialistes de sécurité de l’information (SI), c’est aussi une saison propice afin d’envisager l’amélioration de leurs connaissances.

Je me suis dit qu’il serait intéressant de m’entretenir avec une personne impliquée à temps plein dans le domaine des formations en SI, histoire de connaitre celles qui sont « tendance » présentement dans le marché.

J’ai donc contacté M. Éric Lessard, président de Kereon inc., une société spécialisée et dédiée à ce type de formations pour m’aider à écrire un billet intéressant pour ce blogue. Pour tout vous dire, je suis sorti surpris et interpellé de cette conversation.

NOTE: je vous invite à lire l’article « Kereon: la formation qui inspire confiance » publié dans le magazine SÉCUS de mai/juin 2011 pour en savoir un peu plus sur cette société. Également, vous pouvez visionner cette capsule que nous (SECUS) avions effectuée avec M. Lessard en 2010:

Changement de cap pour Kereon

Pour ceux qui ne connaissent pas le président de cette société, je peux vous le décrire comme étant un homme d’affaires intelligent, hyper-sympathique et possédant certes un franc parler, mais qui se veut constructif et à la recherche de solutions pour le milieu de la sécurité au Québec.

D’entrée de jeu lors de notre entretien, il a peint un constat soulevant des inquiétudes en terme de formations dans notre milieu :

De manière générale dans le secteur des formations, on assiste actuellement à un ralentissement des activités issues des restrictions budgétaires tant publiques que privées. Ces restrictions ont eu un impact sur les investissements dans le secteur de la SI et cela se reflète par une baisse d’inscriptions aux formations liées au secteur.

Comme la formation professionnelle vit en ce moment des moments difficiles dans un domaine spécialisé comme celui de la sécurité de l’information, on devient malheureusement la première ligne de dépenses à couper lors des réductions budgétaires, et ce, au-delà même des projets.

Les formations liées à la SI ne sont pas des formations de type fonctionnelles au sens d’opérer les activités quotidiennes d’une entreprise, mais plutôt elles sont destinées à procurer un haut savoir qui est malheureusement trop souvent optionnel dans notre culture corporative québécoise.

La sécurité de l’information a toujours été à ce jour une activité restreinte en termes du nombre de professionnels qui exerce dans le secteur au Québec. Mais jamais depuis la mise en place de notre offre intégrée et spécialisée de formation en sécurité de l’information (2009), nous (Kereon) n’avions été confrontés à des volumes d’inscriptions réduits tels que ceux observés actuellement.

S’il y a certes conjoncture économique défavorable actuellement au Québec, il y a lieu de se poser de sérieuses questions sur la vision des entreprises et des services publics en matière de gestion de risque et de sécurité informationnelle dans un axe stratégique.

M. Lessard explique comment Kereon a dû explorer d’autres marchés dans une offre de services renouvelée afin de conserver la bonne santé financière de la société :

Comme d’autres firmes en SI, nous n’avons pas eu d’autres choix que de développer de nouveaux marchés à l’extérieur du Québec. Si nous n’avions pas pris cette décision, nous serions morts ! […]

Le marché de la SI ici est en latence au Québec. Il y a de quoi que j’ai de la difficulté à comprendre vu le contexte mondial. À mon avis, on dort au gaz ! Plus nous effectuons des interventions ailleurs dans le monde, plus nous constatons des écarts importants en comparaison avec le contexte québécois en matière d’importance accordée à la sécurité de l’information au sens large. […]

Nous avons toujours désiré axer notre offre de service principalement au Québec, mais nous avons constaté l’obligation de nous adapter dès le milieu de l’année 2014. Nous avons dû offrir de plus en plus de services de formation à l’étranger tout en ajoutant à notre offre commerciale des services professionnels de pointe sur certaines solutions spécifiques hautement spécialisés afin de permettre la continuité de notre croissance.

Venant d’un gestionnaire issu de l’entreprise privée, vous comprenez que les affaires ont été plus difficiles au cours des derniers mois. Plusieurs raisons ont provoqué cette situation selon M. Lessard.

Le retard du Québec en sécurité de l’information

M. Lessard est conscient du ralentissement des projets SI dans les organisations publiques et privés. Selon ce dernier, les compressions budgétaires dans un domaine comme la sécurité peuvent influer négativement sur le niveau de maturité des organisations. Il évoque entre autres que la réduction des formations ou le nombre de ressources en SI peuvent avoir de graves conséquences. À ce sujet, il mentionne les éléments suivants :

Quand on voyage un peu, on peut constater le retard du Québec dans le domaine des investissements liés à la sécurité de l’information. […] Ce secteur est de plus en plus névralgique et le nombre de projets en SI est croissant […] La demande est également en hausse en formations tant dans les axes de gouvernance, de la gestion du risque ou de l’expertise technique.

Tout le milieu est grandement interpellé lorsque l’on constate qu’au Québec, la sécurité est parfois reléguée au rang d’une commodité et d’une dépense à réduire ! Ailleurs dans le monde, les sociétés protègent leurs infrastructures critiques. Ici, on peut constater que l’on semble appliquer encore une fois le concept de réaction et non pas de prévention.

Notre culture de sécurité doit évoluer au Québec. On doit se doter d’une vision élargie puisqu’il est évident que l’expertise en SI n’est plus un « nice to have » dans les organisations. Ailleurs dans le monde, elle est liée de plus en plus aux axes d’affaires. Elle doit s’arrimer à des angles stratégiques beaucoup plus porteurs et en profondeur que ce que l’on observe ici. Détrompons-nous, le gazon n’est pas plus vert ailleurs en termes financiers.

À titre d’exemple le taux de chômage en France dépasse 11%. L’économie européenne en arrache solidement depuis un temps déjà, mais jamais la sécurité de l’information n’a autant été d’actualité dans les entreprises et au sein même des gouvernements. Même l’Afrique du Nord bouge de plus en plus dans sa mise à jour à l’égard de la SI.

Nos activités commerciales nous le démontrent clairement chez Kereon. Malgré des conditions économiques difficiles, il est clair que des organisations ailleurs dans le monde ont compris que d’investir dans les projets SI et dans la formation continue sur le sujet, c’est vu comme des investissements. Pas des dépenses!

Au Québec en ce moment, c’est pratiquement comme si le message était que les individus et les organisations malveillantes suivaient le rythme de la capacité de payer de l’état ou des organisations. Ça ne fait aucun sens!

Si les organisations veulent améliorer leur niveau de maturité en SI, elles doivent selon lui investir dans les formations. Il cite cet exemple où une organisation avait trouvé une approchante intéressante pour améliorer son expertise et réaliser des économies :

La conséquence des réductions de coûts peut affecter l’obtention de gains substantiels. Voilà un exemple concret : Afin de combler une problématique de postes vacants disponibles en SI, une organisation a eu la brillante idée de nous (Kereon) faire construire une formation d’introduction à la SI assez avancée destinée à son personnel en technologie dans l’espoir de les voir poser leur candidature sur lesdits postes.

Leurs gestionnaires avaient constaté qu’il était plus avantageux d’intéresser le personnel interne à la SI que de payer des frais de recrutement pour des nouveaux employés ou encore de solliciter des consultants externes […] Résultat: il y a eu une ou deux postulations sur les postes vacants suite aux formations.

Malgré cette approche ingénieuse de ces gestionnaires, cette organisation a dû stopper ce programme puisque le régime de restriction budgétaire est entré en vigueur […] Le pire ? Il y a toujours des postes vacants dans cette organisation qui ont été pourvus par des experts externes.

Il s’interroge fortement en lien avec certaines observations où dans certains secteurs l’approbation pour inscription à une formation est devenue plus que questionnable :

En ce moment dans certaines organisations de la fonction publique, ça prend littéralement une signature du sous-ministre pour autoriser une formation. Et comme toujours en sécurité de l’information, certains gestionnaires ne voient pas le retour sur investissement dans les formations en sécurité de l’information.

L’équation de retour sur investissement est certes une approche financière adéquate, mais elle ne peut pas être réduite à être appliquée en toute chose.

Dans le secteur des formations en SI, nous savons parfaitement que les retours ne sont pas directs et immédiats, mais en termes de gestion de risque, on accusera tôt ou tard des retards en termes de savoir.

La complexité de l’offre de formations dans le marché

Concernant l’offre de formation en sécurité de l’information de manière plus générale, M. Lessard souligne que le marché bouillonne tellement dans le monde qu’il est maintenant difficile pour l’acheteur de faire la part des choses en termes de choisir une certification ou une autre :

L’offre de formation en sécurité de l’information au Québec comme ailleurs est actuellement en ébullition et le phénomène apporte un lot de questionnement […] Le dernier sondage du SANS en 2014 le confirme: 70% des experts en SI et leurs patrons considèrent que les formations dites « certifiantes » sont encore le canal de reconnaissance et d’avancement le plus probant dans le marché.

Mais voilà, il vient difficile de faire la différence entre des certifications « maison » et celles reconnues internationalement.

Chose certaine, c’est les formations à capacité de reconnaissance mondiale qui seront toujours, et de plus en plus d’ailleurs, reconnues comme défendables comme achat corporatif.

Plusieurs organismes qui développent des contenus ont investi et ont fait reconnaître leurs processus d’enseignements et de composition du contenu de cours. Ils ont procédé ainsi afin de les rendre conforment à des normes d’enseignements et d’atteinte des objectifs d’apprentissage reconnues, dans l’adhérence à certaines normes telles ISO17024 et ANSI.

ISACA, PECB, EC-COUNCIL et autres organismes ont tous mis de l’avant des approches conformes aux plus hauts standards d’éducation.

Il est important pour une personne qui achète une formation de mettre en doute la reconnaissance de celle-ci dans le marché auprès des employeurs […]

Dans le marché, il a explosion de formations de type informatives.  Il n’y a pas d’examen, ou de standard de conformité liée à ces formations. Sans vouloir leur enlever cette valeur informative qui peut être certes tout à fait probante en terme de justification et de qualité de contenu, comment fait-on pour faire la différence entre les formations A et B si le contenu et l’approche ne sont pas axés sur une base de mesure normalisée ? […]

Bref, le tout devient très subjectif et souvent axé sur la réputation du formateur qui parfois peut être tout à fait expert dans son domaine. Mais former est une expertise en soi. Comment prouver et garantir que les objectifs d’une telle formation sont atteints ? […] C’est évident que lors de l’envoi d’un CV, d’une entrevue pour un poste ou en vue d’une promotion, la certification reconnue l’emporte haut la main en termes de crédibilité.

Concernant les formations en SI dont la demande croît, M. Lessard mentionne souligne :

Oui le milieu est en ébullition. Dans un milieu hyperspécialisé, nous voyons apparaître des contenus qui le sont encore plus au fil du temps tant sur les solutions logicielles, qu’en termes de défense ou encore dans l’axe des cadres de gestion et des meilleures pratiques.

On assiste à l’apparition d’un éventail plus grand de formations, au fur et à mesure que la maturité du milieu de la SI augmente.

Nous voyons des spécialités apparaître comme les formations axées sur ISO 27035 en gestion des incidents ou encore sur ISO 27034 en sécurité applicative […]

Même les CISO sont ciblés plus que jamais par l’industrie du perfectionnement professionnel dans des programmes leur étant destinés tel que le CCISO du Ec-Council.

Mais encore, certaines bonnes veilles formations et certifications ont toujours la côte. C’est le cas du CISSP qui est considéré comme dépassé ou de base par certains des plus aguerris dans notre milieu […]

Aujourd’hui, elle demeure un critère fréquemment rencontré à l’embauche et l’une des formations et certifications les plus recherchées par la clientèle, principalement pour ceux qui entrent dans le milieu ou encore par les acteurs en TI qui décident d’effectuer un changement de carrière vers la sécurité.

La relève en sécurité de l’information

M. Lessard souhaite voir plus de jeunes en sécurité de l’information au Québec. Toutefois, si l’offre de formation dans les établissements d’enseignement s’est améliorée afin d’attirer une partie de la relève, les finissants issus des nouveaux canaux destinés à la relève font face à des mécanismes d’entrée dans le marché qui n’évoluent pas selon lui:

Certes, pour ceux qui désirent étudier en sécurité de l’information, quelques CÉGEP (réf.: Collège de Bois-de-BoulogneCÉGEP Ste-Foy) et certaines universités québécoises donnent ont de bons programmes sur le piratage éthique et en cybercriminalité.

C’est bien. Mais au début de leur carrière, est-ce que ces jeunes accèdent à des postes qui les valorisent au sens de leur intérêt pour la sécurité de l’information? Se retrouveront-ils à la fin de leurs études à attribuer des accès à longueur de journée?

Les employeurs aussi ont leur part de responsabilités en matière d’évolution de la relève. À défaut d’offrir l’emploi parfait, il y a certes un enjeu d’organiser le travail de manière à favoriser l’épanouissement des nouveaux arrivants en termes de partage des responsabilités, des rôles et des champs d’expertise au sens de la structure des équipes […]

Pour les jeunes qui débutent, M. Lessard souligne que certains paradigmes persistent, et que les autorités et l’industrie doivent être plus créatives en matière d’accès aux formations et ultimement à l’emploi :

Une fois sur le marché du travail, les jeunes arrivent dans un milieu où des connaissances et des certifications sont continuellement recherchées. C’est comme si les nouveaux programmes, plus particulièrement au niveau collégial, n’étaient pas pleinement reconnus.

Par où ces jeunes doivent-ils commencer pour se perfectionner? […] Quand nous mentionnons aux jeunes de débuter par les certifications CISSP ou CEH et qu’il voit le coût, ils sont embêtés, car c’est des sommes importes à débourser pour eux […]

L’apparition de programme de subvention permettrait grandement à la relève de croître et procurerait du même coup, plus de maturité en terme de savoir aux organisations et aux entreprises qui les embauchent […]

Mais encore, on en revient à la place de la sécurité dans l’axe stratégique québécois, voilà où il faut trouver les réponses.

Au final

À l’heure des enjeux de SI d’aujourd’hui, M. Éric Lessard souhaite que les acteurs québécois du domaine engagent une réflexion en collaboration avec les organisations et les entreprises afin de se doter d’une vision stratégique porteuse en SI afin de pallier aux problèmes de relève et de compétence en sécurité. Il mentionne que le niveau d’expertise en SI d’une organisation a un lien direct avec le niveau de réflexion et de maturité. Selon lui, une vision porteuse des enjeux en SI au Québec, combinée à une priorisation des investissements en formation SI est certes parmi les pistes de solutions les plus probantes à envisager.

La questions se pose : Est-ce que les décideurs et gestionnaires des organisations vont considérer cet argument ?

 

Remerciement à M. Éric Lessard de Kereon inc. pour les propos.
Photo: Pixabay




Autres billets intéressants:

Laisser un commentaire