Nouvelles

Développement des talents en cybersécurité : projet de formation du CTIC et de Microsoft

woman working at a computer
Par le Le CTIC
CTIC

Contexte : pénurie de main-d’œuvre dans le domaine de la cybersécurité 

 

La cybersécurité est la pratique qui consiste à se protéger et à protéger son organisation des cyberattaques. La cybersécurité comprend notamment la sécurité des réseaux, des systèmes et des programmes; la sensibilisation du personnel; ainsi que l’anticipation et la gestion des incidents. En 2021, un peu moins d’un cinquième des entreprises canadiennes (18 %) ont été touchées par des incidents de cybersécurité. 

En 2022, la main-d’œuvre en cybersécurité partout dans le monde était composée d’environ 4,7 millions de professionnels (lien en anglais), soit le nombre le plus élevé enregistré à ce jour par ISC2, un organisme axé sur le développement de la main-d’œuvre en cybersécurité. Celui-ci estime que le Canada compte 138 726 professionnels en cybersécurité, soit une augmentation de 12,2 % par rapport à la statistique de 2021. Toutefois, le même rapport fait état d’une grave pénurie de travailleurs en cybersécurité, compte tenu des risques accrus et de la demande de main-d’œuvre qui augmente beaucoup plus rapidement que l’offre de travailleurs à l’échelle mondiale. Au Canada, ISC2 chiffrait à 25 385 le nombre de postes en cybersécurité non pourvus en 2022.  

Par ailleurs, des recherches menées au Canada et ailleurs dans le monde révèlent que les femmes sont largement sous-représentées dans ce domaine. Par exemple, sur l’ensemble des spécialistes de la cybersécurité au Canada (une catégorie qui comprend entre autres les analystes en cybersécurité, architectes de sécurité TI et ingénieurs en sécurité des systèmes), seulement 18,5 % s’identifient comme des femmes (statistique tenant compte des personnes trans). Des données sur la représentation d’autres groupes en quête d’équité entre les genres ne sont pas actuellement offertes pour les postes en cybersécurité au Canada; toutefois, les études sur leur représentation dans la technologie recommandent de plus en plus une approche inclusive et intersectionnelle de l’équité entre les genres pour développer, attirer et maintenir en poste la main-d’œuvre. 

 

L’enjeu central du développement des talents en cybersécurité  

 

Les recherches du CTIC sur le développement des talents (en cybersécurité, mais aussi dans d’autres secteurs tels que l’informatique dans le secteur public, les technologies de la santé ou l’IA) révèlent que de nombreux postes liés à la technologie nécessitent un professionnel présentant des compétences en forme de « T ». Selon ce concept, même les personnes en début de carrière doivent posséder deux atouts. Premièrement, elles doivent démontrer une large base de compétences essentielles, souvent obtenues au cours d’études postsecondaires, offrant le temps et l’espace pour apprendre les fondements et la logique de l’informatique et suivre des cours facultatifs qui permettent de se familiariser avec d’autres disciplines. Deuxièmement, les étudiants ont besoin de connaître de façon approfondie les plus récents langages de programmation en évolution rapide, ainsi que d’autres outils et techniques propres à leur domaine technologique. Il peut s’avérer ardu de transmettre de telles connaissances aux étudiants postsecondaires en raison du rythme des programmes d’enseignement, de la difficulté à concurrencer les salaires du secteur privé et d’autres défis. Par conséquent, le monde du travail pourrait être l’endroit idéal pour acquérir ces compétences, notamment dans le cadre d’apprentissage intégré au travail. Toutefois, 98 % des entreprises canadiennes comptent moins de 100 employés (petites entreprises) et n’ont pas forcément les ressources nécessaires pour investir dans la formation d’un étudiant. Résultat : les nouveaux diplômés ne détiennent pas l’ensemble des compétences nécessaires.  

 

À propos du programme pilote 

 

En 2021, le CTIC et Microsoft ont mis sur pied un projet pilote d’apprentissage intégré au travail (AIT) dans le but d’attirer, de former et de maintenir en poste dans le domaine de la cybersécurité des étudiantes et étudiants postsecondaires en quête d’équité entre les genres. L’AIT permet un apprentissage par l’expérience de travail, rémunéré et de courte durée, ainsi qu’une insertion précoce dans le marché du travail et une expérience pratique. Les programmes d’enseignement coopératif, les stages et les formations d’apprenti sont autant d’exemples d’AIT. Dans le cadre de ce programme pilote, les élèves ont effectué au cours de l’été un stage pratique pour étudiants en cybersécurité.  

Ce programme a également reçu l’apport du Comité consultatif national du CTIC pour la formation en cybersécurité (CCNFC), qui a recommandé d’accroître la participation des acteurs de l’industrie au début, au milieu et à la fin de l’enseignement postsecondaire pour mieux soutenir le développement des compétences et le réseautage.  

Le programme pilote s’est déroulé de janvier à août 2023, et 36 étudiants et 9 employeurs y ont pris part. Conçue pour répondre aux besoins des employeurs et des étudiantes, la phase I visait deux établissements : l’Université métropolitaine de Toronto et l’Université de Calgary. Les participantes s’identifiaient comme des femmes ou des personnes non binaires et allaient recevoir un diplôme d’un programme pertinent dans les deux années suivantes. Elles ont bénéficié d’un accompagnement entourant la rédaction de leur curriculum vitæ, les entretiens d’embauche, LinkedIn, le réseautage et la préparation à l’emploi; d’un groupe de mentorat; et d’un accès gratuit à la formation préalable aux certifications Microsoft AZ-900 et SC-900. Pour mettre sur pied des groupes de mentorat, les étudiantes ont été invitées à s’inscrire au programme de Global Mentorship Initiative (GMI – lien en anglais), une organisation qui propose des séances de mentorat individuel en ligne avec des spécialistes de la technologie, à raison d’une heure par semaine. De plus, les étudiantes ont eu accès à des mentores de Women in Cybersecurity Global (WiCyS – lien en anglais). Les deux programmes de mentorat ont été octroyés gratuitement.   

De leur côté, les employeurs participants ont reçu une subvention salariale de 70 % sur le salaire de leur étudiante, jusqu’à concurrence de 7 000 $, des curriculum vitæ et du soutien administratif. Ce programme a été conçu pour mettre les employeurs en contact avec des étudiantes et des étudiants non binaires qui se lancent dans des carrières en cybersécurité par le biais d’un stage d’apprentissage intégré au travail subventionné, ce qui permet à l’employeur d’embaucher de nouveaux talents sans risques. Le projet a permis aux étudiantes d’acquérir des compétences, un réseau professionnel et de la confiance en leurs capacités.  

Le CTIC a mené une évaluation formative interne du programme pilote pour façonner la phase II, qui se déroulera de 2023 à 2024 et comptera un nombre plus élevé de certifications et d’universités, d’étudiantes et d’employeurs participants. Les données prises en compte étaient tirées d’entrevues de départ approfondies, de vérifications à mi-parcours et d’enquêtes à mi-parcours et à la fin du stage. (Cependant, hormis les vérifications à mi-parcours, nos sources de données étaient facultatives. Pour la suite de ce programme, nous viserons un taux de réponse plus élevé.) Les constatations qui suivent sont tirées de l’évaluation formative et comprennent des enseignements qui, nous l’espérons, seront utiles de façon globale pour tous les acteurs de la cybersécurité intéressés par l’AIT ainsi que l’équité, la diversité et l’inclusion (EDI).  

 

Résultats souhaités : exposition à la cybersécurité, expériences de travail pratique, développement des compétences, rétention de la main-d’œuvre 

 

Le programme a vraisemblablement réussi à sensibiliser les étudiantes à la cybersécurité. Beaucoup d’entre elles n’auraient jamais entendu parler de la cybersécurité si elles n’avaient pas été invitées à participer à ce programme d’AIT. Elles ont indiqué que, malgré leurs études en informatique, elles ignoraient que la cybersécurité exigeait toute une gamme de compétences, ou elles pensaient que ce domaine « tournait uniquement autour du piratage ». L’une d’elles a déclaré : 

« Je pense que la plupart des gens qui étudient en informatique croient que ce domaine est synonyme de codage, et qu’ils devront se contenter d’un emploi d’ingénieur logiciel. Le monde ignore généralement que l’informatique compte de nombreux sous-domaines. Avant, j’envisageais de devenir ingénieure logicielle, mais j’ai récemment décidé de m’orienter plutôt en cybersécurité. » 

Même si les attentes des employeurs à l’égard des étudiantes étaient modestes, bon nombre ont été impressionnés par la qualité du travail de ces dernières. « Après seulement deux séances d’observation de travailleurs à l’œuvre, la stagiaire a pu exécuter des tâches seule », a noté l’un d’entre eux, tandis qu’un autre a décrit l’apport de l’étudiante comme « essentiel ». Pour la plupart, les employeurs ont déclaré avoir confié aux étudiantes des tâches liées à la documentation et à l’élaboration de politiques sur la cybersécurité.  

« J’ai participé à des programmes d’enseignement coopératif dans lesquels on attribuait aux étudiants des projets plus ou moins importants. Mais cette fois, l’étudiante était là, au cœur de l’action. C’est du nouveau pour notre entreprise, et elle s’est énormément impliquée. »  

La seule exception à cette règle est une grande entreprise participante qui a dit avoir fixé des objectifs axés sur la formation et le perfectionnement des étudiantes plutôt que sur des contributions significatives pour l’entreprise.  

Développement des compétences techniques : Les étudiantes ont rapporté avoir appris à utiliser des machines virtuelles sur l’ordinateur d’une collègue, à faire de l’encodage et du décodage sur Linux et à développer l’infrastructure d’un centre d’opérations de sécurité (SOC). Les employeurs ont pour leur part indiqué que les étudiantes avaient acquis des connaissances sur la documentation, la conformité, les cadres et cycles de révision de consultation en matière de projets, les flux de travail à faible code/sans code, les projets agiles, la reprise après un incident, l’analyse des lacunes et des politiques, la gestion des utilisateurs de bases de données SQL et PowerBI.  

Développement des compétences interpersonnelles : Bon nombre d’étudiantes et d’employeurs ont indiqué que les participantes au programme d’enseignement coopératif observaient le travail de leurs collègues en contact avec la clientèle et/ou se voyaient confier la responsabilité de présenter à des équipes internes des protocoles de cybersécurité à mettre en oeuvre.  

Une étudiante a dit : « J’ai également été en contact avec la clientèle. J’ai assisté à des réunions d’équipe à titre d’observatrice et j’ai constaté que le conseil et la cybersécurité vont de pair. » Une autre a déclaré : « Chaque semaine, je devais faire des présentations et répondre aux membres de l’équipe, qui me posaient toujours des questions comme ʺPourquoi c’est arrivé? Que dois-je faire?ʺ. Donc, le travail impliquait beaucoup de communications et de leadership. » 

Sur les cinq employeurs qui ont choisi de procéder à une entrevue de départ, trois ont déclaré avoir proposé à leurs étudiantes un contrat de travail non subventionné à temps partiel ou à temps plein une fois le programme terminé.  

Voici un aperçu des postes qu’occupaient les étudiantes du projet pilote d’AIT :  

  • Analyste en cybersécurité 
  • Analyste débutante en sécurité de l’information  
  • Stagiaire en développement de microprogrammes  
  • Stagiaire en cybersécurité 
  • Stagiaire d’été, conseil en sécurité 

 

Leçons apprises : capacité des employeurs et recrutement d’un plus grand nombre d’employeurs 

 

Dans l’ensemble, les employeurs n’ont pas indiqué avoir réfléchi à leurs pratiques ou changé leur lieu de travail pour accommoder les étudiantes, outre le fait de s’assurer que leur accueil, les possibilités de perfectionnement professionnel à leur portée, leurs tâches et la supervision qui en était faite étaient adéquates. La plus grande entreprise interrogée a fait exception à la règle en prévoyant des possibilités de perfectionnement professionnel et des événements de réseautage pour leurs étudiantes du programme d’enseignement coopératif. Ce même employeur a suggéré qu’il serait utile à l’avenir d’obtenir des explications plus détaillées sur leurs responsabilités quant au perfectionnement des étudiantes. Si les petites entreprises n’ont pas nécessairement les ressources humaines et matérielles requises pour planifier le perfectionnement professionnel des étudiantes inscrites à un programme d’enseignement coopératif, elles ont néanmoins indiqué avoir attribué à leurs étudiantes des tâches importantes et pertinentes à l’entreprise. Cette pratique n’était pas sans risques importants pour le développement des compétences et la gestion du temps. La plupart des étudiantes ont dit avoir trouvé les environnements de travail sécuritaires et accueillants, mais certaines ont accepté de travailler en dehors des heures habituelles, érodant ainsi leurs limites entre vie professionnelle et vie personnelle. Le programme visera donc à mettre en place des protections et des ressources supplémentaires pour les étudiantes.   

L’un des principaux défis de ce programme pilote concernait le recrutement d’employeurs : les étudiantes intéressées par un stage d’AIT n’ont pas toutes pu y avoir accès. À cet égard, les entrevues de départ auprès des employeurs ont permis de savoir ce qu’ils recherchaient dans un programme et ce qui les avait incités à participer à celui-ci. Voici quelques-unes des principales réponses : 

  • Les subventions salariales se sont révélées être l’incitatif le plus important à la participation des employeurs interrogés.  
  • Les employeurs ont trouvé difficile de sélectionner les curriculum vitæ des étudiantes : ils ont estimé pouvoir dire quelles étudiantes avaient mis à profit l’aide à la rédaction de curriculum vitæ, mais auraient souhaité en savoir davantage sur les candidates, notamment leurs passions et intérêts professionnels pertinents. L’un des employeurs a fait la remarque suivante : 

« Ce serait bien que leur curriculum vitae contienne une section listant leurs loisirs ou passions. On pourrait voir l’intérêt qu’elles portent à l’IA ou à l’utilisation de fonctions avancées et de formules de régression pour comprendre la puissance de calcul. Ça nous permettrait de savoir ce qu’elles aiment faire dans leur temps libre, et nous pourrions présélectionner des candidates qui présentent des intérêts plus techniques ou créatifs en sachant qu’elles s’épanouiraient dans ce type d’environnement. »  

  • Au cours des entrevues qu’ils menaient auprès des candidates, les employeurs cherchaient à savoir si elles cadraient dans l’environnement de travail; détenaient bel et bien les compétences, interpersonnelles ou autres, figurant à leur curriculum vitæ; avaient la capacité de résoudre des problèmes techniques; et se montraient enthousiastes à l’idée d’occuper ce poste.  

Enfin, après une présentation des principales constatations et des enseignements tirés de l’évaluation formative, le Comité consultatif national sur la formation en cybersécurité du CTIC a recommandé d’ajouter les questions suivantes aux enquêtes ou aux entrevues de départ lors de la phase II du programme : 

  • Si les étudiantes se voient offrir un contrat à l’issue de leur stage, quels domaines d’activité ou postes leur propose-t-on?  
  • Quels types de formation les employeurs offrent-ils aux étudiantes lorsqu’ils les embauchent à la suite du stage? 
  • Les participantes au programme offrent-elles la même qualité de travail que les autres travailleurs débutants au sein du bassin de main-d’œuvre en cybersécurité de l’employeur? 
  • Quel est l’impact des certifications sur la capacité de l’étudiante à travailler?  
  • Les étudiantes se sentent-elles suffisamment préparées à cette expérience professionnelle? 

 

Conclusion et prochaines étapes : accroître l’apport de l’industrie dans la formation 

 

La phase II de ce programme, financée par le Digital Learning Lab (Digital Supercluster), fera participer 150 étudiantes des institutions suivantes : Université métropolitaine de Toronto, Université de Calgary, Institut de technologie de la Colombie-Britannique, Red River College Polytechnic, Université Dalhousie, et Université du Nouveau-Brunswick/Institut McKenna. L’une des principales priorités de la phase II est d’accroître la participation des employeurs. Ceux qui ont pris part au programme pilote du CTIC et de Microsoft ont affirmé que les étudiantes ont apporté une contribution essentielle à leur entreprise et pouvaient facilement y travailler de nouveau, sans formation ou presque, si elles étaient embauchées après leur stage d’AIT. L’apport du secteur privé dans la formation des étudiantes est essentiel au développement de la main-d’œuvre. Étant donné que la pénurie de personnel en cybersécurité continue de s’accentuer, les entreprises à la recherche de débutants compétents devront davantage faire partie de la solution en soutenant les étudiants.