Point de vue

Externaliser la formation en cybersécurité des collaborateurs : quels paramètres prendre en considération ?

Article rédigé par la Deloitte Cyber Academy

La montée en compétences des collaborateurs, longtemps délaissée au profit de chantiers plus opérationnels, se positionne désormais en sujet principal pour les entreprises. Si elle apparait comme l’un des leviers les plus évidents pour augmenter la productivité des salariés, favoriser la rétention des talents, et donc intrinsèquement la performance de l’entreprise, elle n’en reste pas moins une question complexe à adresser. En effet, la formation comprend tous les enjeux de suivi de carrière du collaborateur, de construction et de déploiement de parcours adaptés et de satisfaction de l’expérience d’apprentissage.

Les compétences nécessaires évoluent au rythme des métiers. Dès lors, la création de plans de formation implique un ajustement et une révision en continue de ces derniers, un processus consommateur à la fois en temps et en compétences mobilisées, dont ne disposent d’ailleurs pas toujours les organisations.

Une formation Cyber adaptée

La demande de formations en cybersécurité connaît une croissance substantielle en raison de l'augmentation du nombre de cyberattaques et du coût croissant des intrusions au cours des deux dernières années. Le "Rapport de fin d'année 2020 : Data Breach QuickView" publié par Risk Based Security a notamment révélé une augmentation des cyberattaques de 141 % par rapport à 2019. A la suite d’une étude que nous avons menée auprès d'un client, la demande de formation en cybersécurité a augmenté de 18 % entre le premier semestre de l'année 2021 et celui de l'année 2022, un résultat qui reflète bien les besoins croissants de formations dans le secteur.

Parmi les rôles les plus demandés dans le domaine de la cybersécurité, on peut citer l’ingénieur en cybersécurité, l’analyste en sécurité informatique, l’architecte de sécurité des réseaux, le développeur de logiciels de sécurité et le hacker éthique. Au-delà de l’expérience et compte tenu de la vitesse à laquelle la technologie progresse, les compétences doivent rester à jour. Pour cela, deux opportunités : suivre une formation à l'issue de laquelle un certificat sera délivré en cas de réussite à l'examen final, ou suivre un parcours de formations plus long et adapté aux besoins et aux objectifs spécifiques de l’individu et/ou de l’entreprise.

La cybersécurité étant un secteur très réglementé, l'identification des besoins implique un effort conséquent, et ce tout en gardant un œil attentif sur les évolutions rapides et constantes en matière de réglementation et de technologie.

L’externalisation : un gain de temps et un levier d’efficacité

L’externalisation de la formation peut présenter un certain nombre d’avantages en optimisant les différentes ressources : humaines, financières et logistiques. La première étape du processus de formation pouvant être prise en main par un organisme externe est le recueil, la compréhension et l’expression du besoin.

Pour les PME, ETI et grandes entreprises, cette étape demande énormément de temps et d’investissement de la part des managers comme des fonctions de ressources humaines et s’étale généralement sur une période de 2 à 3 mois. Bien que certaines structures puissent disposer d’un système d’information dédié à la gestion des ressources humaines (SIRH) automatisant ce recueil et le traitement des besoins de formation, externaliser cette étape administrative permettrait aux ressources mobilisées de se concentrer davantage sur leur cœur de métier, et dans ce cas à l’analyse des besoins exprimés à l’attention des instances représentatives obligatoires (IRP). Une analyse facilitée par le travail de reporting réalisé en amont par le prestataire.

Dans certains cas, le prestataire en charge du recueil des besoins peut également se voir confier la mission de sourcer l’offre la plus adaptée au besoin sur le marché. Son réseau et ses compétences en négociation pourraient être mis au profit de l’optimisation budgétaire du client qui bénéficierait ainsi de tarif préférentiel ou de montage financier favorable comme le recours aux opérateurs de compétences (OPCO).

S’en suivront les étapes de gestion des inscriptions et d’organisation logistique des sessions de formations à la fois pour les entreprises et les organismes de formation. Ce sont des tâches consommatrice en temps pouvant représenter, selon la densité de l’activité, environ 20 % du temps de travail d’un(e) chargé(e) de formation. Le temps alloué à ces missions pourrait ainsi être utilisé pour des missions plus impactantes et structurantes au service de l’amélioration continue, du développement de contenus digitaux (e-learning, serious game, etc.) ou encore du développement de l’offre (construction de parcours et contenus de formation), etc.

L’externalisation : les précautions à prendre en compte

Recourir à l’externalisation peut présenter des risques qu’il faut savoir identifier en amont pour mieux s’en prémunir.

Il est nécessaire de garantir une bonne interface entre les fonctions RH internes et le prestataire, tout en définissant clairement les rôles et responsabilités de chacun pour assurer un meilleur suivi du collaborateur dans son plan de développement. Ne pas le sursolliciter, répondre à ses demandes de manière réactive et lui proposer des formations pertinentes figurent parmi les clés de succès.
Il sera également indispensable de définir le niveau de qualité attendue. Qu’il s’agisse du service client vis-à-vis des collaborateurs, des contenus et supports de formation ou des interventions des formateurs sélectionnés, il faudra imposer un niveau de qualité cohérent aux standards de l’organisation. Il sera alors important de mettre en place un processus de contrôle de la qualité du service proposé auprès des collaborateurs sur l’ensemble des étapes du processus (expression du besoin, inscription, déroulé de la formation, etc.).
L’externalisation du service de formation implique en outre de mettre en place un cadre strict de traitement des données personnelles des employés. De nombreuses informations sont évidemment utiles pour assurer le pilotage et le déploiement des formations des collaborateurs, informations qui devront être protégées dans le respect du cadre de l’organisation.
Enfin, confier la formation à un prestaire externe soulève une question d’identité. En effet, une formation est également un vecteur des valeurs, des convictions et d’un état d’esprit propres à l’entreprise. En externalisant la gestion du développement des collaborateurs, celle-ci se prive d’un levier d’approfondissement de sa culture et d’un outil puissant de motivation et de fidélisation des employés. Le prestataire doit donc impérativement être aligné avec l’état d’esprit et l’ADN de l’entreprise dans la prise en charge de la formation pour éviter toute dissonance et permettre aux collaborateurs de projeter la formation dans son quotidien.

Un choix stratégique

Le choix entre l'externalisation ou l'internalisation de la formation reste lié à la stratégie de l’entreprise et sa politique de développement des talents, avec une logique d’externalisation pour les PME dont les budgets alloués sont moindres et pour qui l’optimisation des coûts se révélera prioritaire . Pour les entreprises qui disposent d’un département Formation en interne, l’externalisation sera considérée dans une moindre mesure et restera une opportunité plus qu’une orientation stratégique. En matière de cybersécurité, l’externalisation de la formation permet de garantir une formation de qualité, animée par des experts à jour des dernières évolutions. Elle ouvrira également le spectre des enjeux de la cybersécurité grâce aux partages d’expériences éprouvées par les formateurs et autres participants.

Nos experts

Imade Elbaraka

Associé Cyber Risk Services

ielbaraka@deloitte.fr

01 40 88 28 00

Imade est Associé Risk Advisory, en charge des activités de cybersécurité. Il a mené le développement de notre département Cyber en conduisant des programmes de transformation majeurs auprès de client... En savoir plus