La cybersécurité nécessite-t-elle de savoir coder ?

Il n’est pas nécessaire de savoir coder pour travailler dans la cybersécurité, mais il faut être curieux et cultiver un bon état d’esprit.

C’est le principal point à retenir pour toute personne qui envisage une carrière dans ce secteur. À l’échelle mondiale, le marché du travail de la cybersécurité connaît une croissance à deux chiffres. Cependant, une idée fausse très répandue persiste : il serait absolument nécessaire d‘avoir des compétences en programmation pour faire ses premiers pas dans le domaine de la cybersécurité. Beaucoup de personnes attirées par une carrière dans ce domaine hésitent, car elles pensent ne pas avoir les aptitudes techniques requises.

En réalité, selon CyberSeek, il existe environ 30 à 40 % de métiers non techniques de la cybersécurité qui ne requièrent que peu ou pas de connaissances en codage. Ces postes nécessitent davantage un grand souci du détail, une forte capacité d’analyse et de solides compétences de communication. Les films nous ont souvent montré les professionnels de la cybersécurité devant des flots de code défilant sur leurs écrans. Cette image est trompeuse. Le travail des professionnels de la cybersécurité consiste surtout à évaluer les risques, à surveiller la sécurité à haut niveau et à gérer la planification stratégique. Rien de tout cela ne requiert de connaissances en codage. Naturellement, une formation technique est un atout, mais elle n’est en aucun casindispensable pour mener une carrière épanouissante dans ce domaine.

Dans cet article, vous découvrirez les différents métiers de la cybersécurité avec les compétences requises et vous pourrez faire votre choix, selon que vous souhaitiez ou non coder.

Faut-il savoir coder pour travailler dans la cybersécurité ?

Faut-il savoir coder pour travailler dans la cybersécurité ? C’est la question que se posent généralement les nouveaux arrivants sur le marché du travail et les personnes en reconversion professionnelle. Et cela semble être une question décisive. Il s’agit pourtant d’un mythe qui empêche des personnes par ailleurs compétentes de choisir une carrière dans la cybersécurité parce qu’elles ne veulent pas devenir programmeurs.

Dans le secteur de la cybersécurité, de nombreux métiers reposent sur la pensée critique, sur la résolution de problèmes et le sens de la stratégie, sans qu’aucun codage ne soit nécessaire. Certains nécessitent de bien comprendre le comportement des systèmes informatiques, mais c’est un domaine différent du codage en cybersécurité. Le codage fait généralement référence à l‘écriture de logiciels ou d’applications en ligne. D’un autre côté, la programmation consiste à écrire de courts extraits de code, généralement dans un langage assez simple. Au-delà de cela, une part importante de la cybersécurité consiste simplement à comprendre les principes technologiques et le fonctionnement des systèmes, ce qui ne requiert aucune connaissance en codage.

Aperçu ciblé du secteur

La plupart des formateurs en cybersécurité s’accordent à dire que l’état d’esprit de ces métiers reposent avant tout sur la pensée critique, de solides compétences en communication et la curiosité technologique. Dans la même veine, la dernière étude sur les professionnels de la cybersécurité de l’ISC2 insiste sur le fait que les principales compétences requises dans ces corps de métier sont le sens des affaires, la capacité d’adaptation et le travail d’équipe.

La cybersécurité doit être considérée comme un éventail de rôles et de compétences. Le codage se situe à une extrémité de ce spectre. De l’autre côté se trouvent les postes qui ne nécessitent pas de savoir coder, mais mettent en jeu des connaissances liées à l’élaboration de politiques, la gestion des risques et la gouvernance. L’aisance relationnelle est également un atout précieux, car il faut généralement collaborer avec différents services et obtenir l’adhésion de chacun. Entre les deux, on trouve tout un panel de fonctions hybrides. Prenons l’exemple d’un ingénieur en Centre des opérations de sécurité (SOC). Son rôle est de concevoir l’architecture de sécurité, d’en superviser l’implémentation et de gérer les systèmes de sécurité. Pour ce faire, il a recours à des outils et à des scripts de suivi de la sécurité. Il peut être amené à enquêter sur les accès non autorisés et à créer des plans d’intervention en cas d’incident. Bien qu’il soit utile, pour un ingénieur SOC, de savoir coder, des compétences approfondies dans ce domaine ne sont pas forcément indispensables.

Les différents métiers de la cybersécurité

Pour bien distinguer les différents métiers de la cybersécurité, il est possible de les répartir dans trois catégories et de les associer à des intitulés de poste spécifiques.

Certains métiers requièrent de savoir coder, mais il faut garder à l’esprit que ces frontières ne sont pas toujours strictes et bien définies. Les rôles hybrides peuvent nécessiter quelques connaissances en codage associées à des compétences opérationnelles plus larges, notamment le développement de stratégies et la conception de systèmes.

Il y a aussi une différence entre le script léger et la programmation de logiciels de bout en bout. Certains rôles comme les chasseurs de menaces peuvent, par exemple, avoir besoin de créer de petits scripts pour analyser les fichiers journaux et automatiser des tâches fastidieuses et répétitives, sans pour autant avoir besoin de savoir programmer intégralement des applications de sécurité. Le cadre européen des compétences en matière de cybersécurité dénombre 12 profils de professionnels de la cybersécurité et précise les compétences et les connaissances requises pour chacun d’eux. Il existe aussi des métiers non techniques dans le domaine de la cybersécurité. Certains postes sont axés sur le travail auprès des personnes pour gérer les risques humains. C’est le cas des formateurs en sensibilisation à la cybersécurité, notamment. D’autres sont des emplois administratifs, comme les experts conformité et les délégués à la protection de la vie privée.

Une entreprise a besoin de trouver le juste équilibre entre stratèges en cybersécurité, managers, responsables de la conformité et programmeurs de haut niveau. Une bonne compréhension de ce qu’implique la programmation peut également s’avérer très utile pour les personnes occupant des postes de direction. Elles pourront ainsi mieux comprendre le travail de leurs équipes, poser les bonnes questions et évaluer les risques en connaissance de cause, sans avoir besoin de posséder de réelles compétences en codage.

Métiers qui ne nécessitent pas de savoir coder

Dans les postes ne nécessitant pas de connaissances techniques en matière de codage, les compétences humaines sont souvent plus importantes. La mission de ces professionnels est avant tout de façonner la culture d’entreprise.

Pour ce faire, ils doivent surtout savoir faire preuve de pensée critique, présenter des données et rédiger des rapports clairs. Il faut aussi être capable de communiquer avec précision les scénarios de sécurité et les incidents auprès de la direction.

L’une des compétences indispensables pour ce type de formateurs et de consultants est surtout de savoir expliquer les menaces à des non-initiés. À ceci s’ajoute une bonne dose d’empathie dans un contexte où l’on accorde de plus en plus d’importance à la gestion des risques humains et au suivi de la conformité. L’Agence de l’Union européenne pour la cybersécurité (ENISA) a publié des Lignes directrices sur la culture de la cybersécurité qui soulignent la nécessité de la sensibilisation, de l’analyse et l’intervention pour assurer une gestion efficace de ces aspects humains.

Voici quelques exemples de métiers de la cybersécurité qui ne requièrent pas de compétences en codage :

• Analyste en sécurité des données : surveille les risques, assure la conformité aux politiques et évalue le cyberrenseignement à l’aide des tableaux de bord.
• Responsable de la gouvernance, des risques et de la conformité (GRC) : assure le suivi de la conformité et veille à ce que les politiques, les systèmes et les pratiques répondent aux exigences réglementaires et respectent les cadres réglementaires tels que la norme ISO 27001 ou le NIST.
• Analyste SOC : Surveille les alertes et les journaux et fait remonter les incidents au personnel compétent.
• Analyste des politiques : Définit les codes de bonnes pratiques en matière de sécurité et s’assure que l’organisation est en conformité avec les exigences légales et les normes du secteur.
• Analyste des risques : Évalue les risques pour divers processus métier et fournit des conseils d’atténuation.
• Délégué à la protection des données : S’assure que toutes les données sont traitées en conformité avec le Règlement général sur la protection des données (RGPD) et toutes les autres lois pertinentes sur la protection de la vie privée.
• Formateur en sensibilisation à la cybersécurité : Crée des simulations de violation de la sécurité pour accroître la sensibilisation du personnel et s’exercer aux bonnes réactions.

Métiers qui requièrent de savoir coder

La programmation en cybersécurité est requise pour ceux qui créent, testent et analysent les logiciels et systèmes de sécurité. Certains de ces métiers sont :

• Ingénieur sécurité : Crée une logique de détection, développe des outils de sécurité et les intègre de manière programmatique.
• Spécialiste de la sécurité des applications : Vérifie le code d’ingénierie pour garantir une conception sécurisée à 360°.
• Chasseur de menaces : Écrit des scripts de requête et utilise l’analyse des données pour détecter les intrusions.
• Analyste de malwares : Fait de la rétro-ingénierie sur des logiciels malveillants pour comprendre leur comportement, en utilisant des langages de programmation de bas niveau comme le C++.
• Ingénieur de réponse aux incidents : Utilise la programmation pour automatiser le confinement des menaces.
• Analyste en criminalistique numérique : Écrit du code pour analyser les données forensiques, y compris les malwares, les images disque et les systèmes internes afin d’obtenir une compréhension complète d’une attaque. Écrit des scripts et des exploits de code pour tester les points faibles de la sécurité en simulant des attaques.
• Testeur d’intrusion : Écrit des scripts et des exploits de code pour tester les points faibles de la sécurité en simulant des attaques.

Pour ceux qui visent ce type de rôle, une solide connaissance de base des langages de programmation comme Python ou Bash fournit une base solide pour le développement futur des compétences.

Liz Centoni, vice-présidente exécutive chez Cisco, le souligne : « Les compétences de base en codage aident à décomposer des problèmes complexes et à appliquer des solutions basées sur les données. Il est essentiel de comprendre les concepts fondamentaux et les outils technologiques disponibles, comme l’apprentissage automatique et l’IA.« 

Langages de codage et de script courants

Il n’est pas difficile de s’initier à ces langages. Internet regorge d’articles pédagogiques, de chaînes YouTube et d’autres outils gratuits qui peuvent vous donner des bases. Vous pouvez également suivre des cours en ligne pour développer vos compétences en codage appliqué à la cybersécurité. De nombreux formateurs en cybersécurité recommandent Python pour sa lisibilité et les nombreux tutoriels communautaires disponibles en ligne. Vous pouvez également vous inscrire à des bootcamps de codage. Ensuite, vous pourrez vous inscrire sur des plateformes comme Hack The Box ou TryHackMe pour expérimenter en toute sécurité la programmation appliquée à la cybersécurité.

Parcours de formation à choisir en fonction des études que vous avez faites

Le cursus que vous allez choisir pour apprendre la programmation appliquée à la cybersécurité dépend évidemment du point où vous en êtes et de votre désir de savoir ou non coder. Selon les personnes, différentes approches sont possibles.

Personnes en reconversion professionnelle

Pour bien réussir votre transition de carrière, concentrez-vous surtout sur les compétences que vous possédez déjà et qui sont transférables. Un comptable ou un avocat, par exemple, peut se tourner vers des rôles tels que la gestion des risques, la conformité ou la gouvernance. Les DRH et les enseignants possèdent, quant à eux, l’empathie et les compétences en communication nécessaires pour devenir formateurs en sensibilisation à la cybersécurité. Les bootcamps sont une excellente ressource pour se former. Il est également conseillé de suivre des cours qui délivrent des certifications reconnues par le secteur. Celles-ci peuvent considérablement augmenter l’attractivité de votre profil sur le marché du travail.

Informaticiens

Si vous travaillez déjà dans le domaine de l’informatique, vous avez déjà une base sur laquelle vous appuyer. Vous avez peut-être une expérience en gestion de réseau ou de serveur, en support technique ou en déploiement de logiciels de sécurité de base, par exemple. Si vous souhaitez vous former à la programmation appliquée à la cybersécurité, vous pouvez suivre des cours de certification dans l’un des langages évoqués plus haut.

Étudiants

Si vous n’étudiez pas déjà le codage ou la cybersécurité, il est conseillé d’opter pour des formations en ligne qui vous permettront d’apprendre à votre rythme. Chaque fois que vous terminez un module, augmentez le niveau de difficulté pour vous préparer à suivre des cours de certification.

Certifications

Si vous possédez une certification en cybersécurité, vous aurez davantage de crédibilité et les employeurs seront plus enclins à vous embaucher. Voici quelques-unes des principales certifications :

• ISC2 Certified in Cybersecurity (CC) : une certification d’entrée de gamme qui valide les connaissances de base.
• CompTIA Security+ : une certification d’entrée de gamme qui aborde les menaces de sécurité, les vulnérabilités des systèmes et les contrôles de sécurité.
• Systems Security Certified Practitioner (SSCP) : une formation qui aborde la sécurité opérationnelle, la réponse aux incidents et les bonnes pratiques en matière de surveillance. Elle transmet également des compétences managériales et enseigne l’implémentation, la gestion et l’élaboration des stratégies de cybersécurité.
• Certified in Risk and Information Systems Control (CRISC) : une formation sur les meilleures pratiques en matière de gestion et de réduction des risques, sur l’évaluation des risques informatiques et sur la gouvernance informatique en entreprise.
• Certified in the Governance of Enterprise IT (CGEIT) : cette certification est spécialisée dans la gestion et la direction de la gouvernance informatique.

Conseils d’experts

Les Les cybermenaces ne cessent d’évoluer et le secteur de la cybersécurité s’adapte au fur et à mesure. Il faut donc être conscient que les métiers de la cybersécurité sont appelés à changer avec le temps. Pour rester à la pointe, il est indispensable de se former en continu. Chez SoSafe, nous sommes aux premières loges pour assister à cette évolution : plus les menaces ciblent l’humain, plus les professionnels de la sécurité doivent posséder non seulement une expertise technique, mais aussi des aptitudes pour influencer les comportements, mieux sensibiliser et construire une culture de la sécurité au sein de leurs entreprises.

Souvent, en cybersécurité, on se concentre sur la technologie, alors que les attaquants cherchent, eux, à manipuler le facteur humain. SoSafe adopte une approche différente qui, en associant les sciences comportementales et des données issues de situations réelles, est à même de transformer le facteur humain en une ligne de défense de premier ordre pour l’entreprise. »

Andrew Rose, analyste du secteur et conseiller stratégique chez SoSafe

Conclusion : un secteur diversifié avec de nombreux parcours professionnels

Pour vous lancer dans une carrière en cybersécurité, vous pouvez commencer au point où vous êtes. Il existe de nombreux cursus, bien définis, qui vous permettront d’exercer différentes fonctions et de mener une carrière épanouissante. Si vous n’avez aucune prédisposition pour les métiers techniques, le secteur de la cybersécurité compte aussi des postes juridiques ou liés à la conformité. Vous pouvez faire des études dans le domaine des ressources humaines ou de l’enseignement pour encadrer les gens et les sensibiliser à la cybersécurité. Si vous avez un esprit analytique, vous pouvez vous lancer dans le domaine en plein essor de l’analyse prédictive en matière de cybersécurité, même sans toucher à une seule ligne de code.

Quelle que soit la voie que vous choisissez, n’oubliez jamais qu’il vaut toujours la peine de se former tout au long de la vie. Le domaine de la cybersécurité est un terrain mouvant et il est absolument indispensable de se tenir au courant des dernières évolutions. Prévoyez, par exemple, du temps pour lire, pour suivre des cours de remise à niveau ou pour assister à des événements sur le sujet. Vous prolongerez ainsi votre carrière et vous perfectionnerez constamment, ce qui vous permettra de vous démarquer au sein de votre entreprise.

L’IA est un autre élément à prendre en considération. Elle a été rapidement adoptée tant par les hackers que par les professionnels de la cybersécurité, mais la plupart des experts s’accordent à dire que l’intervention humaine reste d’une importance capitale. Les ordinateurs ne sont pas encore en mesure de prendre des décisions éthiques ni de comprendre le contexte de l’entreprise. Il y a une place pour chacun dans le secteur de la cybersécurité si vous savez dans quel domaine vous aimeriez travailler.