mercredi 9 octobre 2013

1000 offres d'emploi dans la sécurité informatique

Les assises de la sécurité viennent d'avoir lieu et je lisais à ce sujet des commentaires sur l'ANSSI qui recrute à son habitude. Cela a fait écho pour moi à un article du figaro sur le recrutement des hackers. On y lit que le recrutement est difficile, que les hackers s'arrachent, et que les demande des recruteurs ne sont pas satisfaites par les personnes en recherche d'emploi.

1/ Quel est aujourd'hui le marché de l'emploi dans la sécurité informatique?
Le meilleur moyen d'y répondre consiste à lire les offres d'emploi visibles. J'ai utilisé un site agrégateur d'offres d'emplois: indeed. J'ai donc téléchargé les 1000 dernières offres d'emploi sur la France entière labellisée "sécurité informatique", termes les plus larges possibles pour remonter le maximum d'offres d'emplois triées par date. Il s'agit donc du marché visible de l'emploi, agrégé depuis plusieurs sources différentes.
Je n'ai pas lu dans le détail les 1000 offres d'emplois. Les résultats dont je parle dans cet article proviennent de recherche en texte brut à l'aide de script basés sur grep et wc. Ces résultats sont donc approximatifs, mais permettent de ressortir des points intéressants.


2/ Résultats bruts
La recherche "sécurité informatique" remonte beaucoup d'annonces liées à la sécurité (pharmaceutique, médicale, BTP, etc..) qui demandent également des connaissances informatiques (Excel, etc..). Sur deux échantillons de 50 offres, j'ai 5 et 6 offres qui n'ont manifestement rien à voir. Cela donne une marge d'erreur de 10% sur les offres d'emplois.

2/1/ Durée de l'échantillon
L'offre la plus ancienne datait de 30 jours. La récupération s'est faite fin septembre, donc le panel est une représentation des offres du mois de septembre 2013.

2/2/ Géographie des offres
Plus de 90% des offres donnent le département d'emploi. Voici une infographie:
En abscisse le numéro de département, en ordonnée le nombre d'offres.
Si on additionne les départements 75, 91, 92, 93, 94, 95 on arrive à la somme écrasante de 372 offres, soit plus du tiers total des offres (!!). Le second département en nombre d'offres, Rhône est à 73 offres, 5x moins que la région parisienne, et 3x moins que Paris (208 offres).

2/3/ Salaires
Les salaires sont très peu indiqués dans les annonces. Il n'y a pas non plus d'accesseurs simples pour accéder à leur valeur. Le mot "euros" apparaît dans seulement 80 offres, le caractère € dans moins de 50 (et dans plusieurs d'elles, € sert à indiquer le CA de l'entreprise).

Ce qu'il en ressort malgré tout, c'est une petite fourchette entre 20-30kE pour des postes de techniciens. Ensuite, une fourchette 30-40kE pour des profils plus ingénieurs, et deux offres à plus de 50kE (50kE et 70kE).

2/4/ Quelques mots-clés
J'ai écrit une fonction qui me donne le nombre d'annonces contenant une ou plusieurs fois un mot-clé. Voici, sur 1000 offres quelques résultats.
Sur le niveau demandé (stag permet d'avoir stage et stagiaire):
mot-cléoccurence
stag97
technicien229
ingénieur411
expert369
rssi24
consultant109

Sur les compétences (pour le reverse, il faut grepper avec engineering, sinon cela remonte toutes les annonces contenant reverse-proxy):
mot-cléoccurence
crypto31
crack0
hack3
engineering11
malware2
offensif0
offensiv0
pentest6
redteam0
scada2
fuzz2
forensic3
cybersécurité7
cybersecurity0

Si on sort seulement 3 annonces du lot des 1000 (!), alors ce tableau devient pratiquement vide.

2/5/ Les entreprises
Il n'y a pas de moyen simple d'accéder aux entreprises qui recrutent. Néanmoins, on retrouve quelques tendances:
Cassidian: les 3 offres dont je parlais ci-dessus, Thales, EADS, anssi et sogeti pour 63 offres. 42 offres labellisées SSII. C'est plutôt varié dans l'ensemble.

2/6/ Quelques offres "choisies"
Une offre intitulée 'expert sécurité' qui cherche quelqu'un pour installer des antivirus sur des postes windows (ça c'est de l'expertise, coco).
Beaucoup de stages dont un qui demande au stagiaire de refondre l'archi sécurité et SI du groupe (rien que ça...).
Une mission de mise en place de firewalls, "brassage et câblage compris"

3/ En conclusion, peu d'offres intéressantes
La conclusion de ce passage en revue des 1000 offres est plutôt déprimante. Je n'ai pas vu beaucoup d'offres de sécurité informatique qui font rêver. On en supprime seulement 3 sur 1000 et il reste une quinzaine d'offres avec des mots-clés potentiellement intéressants.

Pour le reste, on a une première majorité d'offres est une recherche pour des développeurs, ayant vaguement une compétence sécurité. Une autre grosse majorité d'offres concerne des admins systèmes se voyant ajouter des missions "sécurité" (reverse proxy, VPN, firewall)[1]... Enfin, une troisième majorité qui se contente de demander des certifications (ISO27k, PCI etc..) pour effectuer de la compliance genre PCA/PRA, AMOA, AMOE, etc... (et dans l'écrasante majorité de ces cas, ce sont des SSII). De plus, en dehors de Paris, aucun espoir de travailler dans un domaine innovant. Si je sors Paris +  9[12345] des annonces, alors le tableau de compétences cité plus haut est vide et il ne reste que des offres de SSII et d'administration système.

Il y a peut-être deux explications. La première vient du fait que je me suis intéressé qu'au marché visible de l'emploi. Je connais des offres qui n'apparaissent pas dans ce panel alors qu'elles existent. La seconde est que les SSII n'hésitent pas à innonder les job-boards, écrasant sans doute en nombre d'autres offres. Et pour le parisiano-centrisme, je sais qu'il existe des pépites innovantes (Tetrane, Netasq (kikoo mes nouveaux amis ;) ), Vupen, quelques sociétés et grands groupes à Sophia, etc..) mais au vu de leur nombre réduit leurs offres sont bien évidemment rares

Je terminerai en donnant le titre d'un article: cybersecurity should be seen as an occupation not a profession.

---
[1]Cela me rappelle une citation lue dans un MISC 66 dont j'avais déjà parlé : "Et les gens qui sont la tête dans le guidon n'ont pas forcément le temps de s'en préoccuper, quand il faut déjà faire marcher le réseau pour que le PDG puisse consulter ses mails depuis n'importe où.(...)En attendant, côté réseau, la réponse est toujours la même : empiler des équipements. Et les équipes ne changent pas plus, toujours en sous-effectif, avec de plus en plus de missions à remplir avec de moins en moins de moyens. Et bizarrement, les effets sont toujours les mêmes : les attaques passent.". Les offres reflètent bien cette idée.

8 commentaires:

  1. C'est vrai que la majorité des offres sur les sites d'annonces sont très peu intéressante pour quelqu'un ayant une vrai approche sécurité (et pas programmation ou réseau). Surtout si l'on cherche en dehors de Paris, là c'est pratiquement le désert.

    M'est avis que l'Anssi capte déjà pas mal de profils jeunes diplômés ou junior, donc déjà ça écrémé pas mal à leurs niveau. Ensuite les pontes de la cyberdéfense : Thales, Cassidian, etc... Puis viens le tour des sociétés de conseil (orientées ou non en sécurité) et pour finir les SSII.
    Pour moi il y a plus d'offre que de demande, donc c'est un secteur qui devra croitre dans les prochaines années.

    PS : Et Pailloux a encore fait son Pailloux aux Assises ;)

    RépondreSupprimer
  2. Attention quand même car cassidian et thales sont aussi des ssii. Pour cassidian il faut même être un roxor et être prêt à partir un mois à l'étranger du jour au lendemain pour faire le ménage chez un grand compte. Le sacrifice est important.

    L'anssi commence a beaucoup recruter mais devra faire face à un gros turnover à cause des contrats de 3 ans pas forcément renouvelés.

    Ce qui risque de décoller ce sont les SOC mais c'est du boulot de techos/admin avec les 3/8 et astreinte. Là encore des sacrifices et pas trop de perspectives professionnelles.

    Il y a quelques grosses équipes chez des grands comptes mais leurs membres managent des armées de presta ou se battent en interne pour sensibiliser les directeurs de filiales...

    Finalement un business model en petit cabinet d'experts ou freelance me parait une vraie alternative, mais c'est effectivement une sorte de marché de l'emploi sous-terrain. Il faut des relations pour y rentrer.

    RépondreSupprimer
  3. @Anonyme: je constate effectivement le trou noir parisien qui aspire toutes les offres intéressantes. Dommage pour ceux qui choisissent de travailler en régions.

    @Dnucna: "Les petits cabinets d'experts ou freelance": Yep, comme QuarksLab, Lexfo, SynAcktiv, etc.. mais c'est de nouveau paris. Et pour entrer sur ce marché sous terrain il faut des relations et un bon carnet d'adresses.
    Comme je disais, et c'est la limite de l'exposé, j'ai pris 1000 annonces visibles, ce qui fait qu'aucune annonce de ce genre d'entreprises n’apparaît, demo
    kdenis@slack:~/blog/indeed$ occurence synacktiv
    Occurences: 0
    kdenis@slack:~/blog/indeed$ occurence quarckslab
    Occurences: 0
    kdenis@slack:~/blog/indeed$ occurence lexfo
    Occurences: 0
    kdenis@slack:~/blog/indeed$ occurence tetrane
    Occurences: 0
    kdenis@slack:~/blog/indeed$ occurence vupen
    Occurences: 0
    kdenis@slack:~/blog/indeed$

    Au contraire de
    kdenis@slack:~/blog/indeed$ occurence thales
    Occurences: 25
    kdenis@slack:~/blog/indeed$ occurence eads
    Occurences: 11
    kdenis@slack:~/blog/indeed$ occurence anssi
    Occurences: 8

    RépondreSupprimer
  4. D'un autre côté, les sociétés de sécu sont là où il y a de la demande : Paris, Lyon, Toulouse/Bordeaux, Lille, Marseille/Nice/Sophia.
    Mais est-ce que ce sont les boites de sécu qui ont généré la demande ? Ou seulement les grands comptes dans des grandes villes qui ont besoin de prestations de sécu ?

    Je sais que je peux bosser avec mon équipe à temps plein sur Paris, alors que seul je doute survivre dans une ville standard (après les 10/11 villes les plus peuplées de France http://fr.wikipedia.org/wiki/Liste_des_communes_de_France_les_plus_peupl%C3%A9es).

    Je commence presque à avoir un espoir pour le PASSI qui risque de faire monter le niveau vers le haut et provoquer des besoins dans plus de sociétés. Ca permettra de développer des besoins dans des boîtes de province qui ont franchi le pas d'avoir un RSSI, mais qui un jour peut-être comprendront l'intérêt du "hack yourself first" et se prendront un hacker à plein temps.

    RépondreSupprimer
    Réponses
    1. "prendront un hacker à plein temps" ? Crois tu qu'un expert en test intrusion puisse survivre techniquement tous seul , isolé en région ? il va falloir un gros budget conf :)

      Supprimer
  5. Non je n'y crois pas :)

    Mais je suis un peu jaloux des RSSI orga qui peuvent se faire payer iso27001, iso27005 et ainsi de suite suivant le calendrier des sorties :)

    Pour moi il manque un alter ego technique au RSSI qui saura renforcer les configurations, concevoir les archi, faire du hack yourself préventif. Et je ne suis pas sûr que le budget soit plus important que pour suivre les formations orgas.

    RépondreSupprimer
  6. Merci pour cette étude. Il y a encore et toujours une discordance entre les offres (peu attrayantes) et la demande. Tout de même le métier a de l'avenir et reste le plus attractif pour les jeunes. Néanmoins, il faudra se spécialiser dans les domaines les plus demandés pour pouvoir trouver sa place.

    RépondreSupprimer
  7. J'arrive un peu tard :) mais merci pour cet article.

    RépondreSupprimer