Article rédigé par la Deloitte Cyber Academy
La montée en compétences des collaborateurs, longtemps délaissée au profit de chantiers plus opérationnels, se positionne désormais en sujet principal pour les entreprises. Si elle apparait comme l’un des leviers les plus évidents pour augmenter la productivité des salariés, favoriser la rétention des talents, et donc intrinsèquement la performance de l’entreprise, elle n’en reste pas moins une question complexe à adresser. En effet, la formation comprend tous les enjeux de suivi de carrière du collaborateur, de construction et de déploiement de parcours adaptés et de satisfaction de l’expérience d’apprentissage.
Les compétences nécessaires évoluent au rythme des métiers. Dès lors, la création de plans de formation implique un ajustement et une révision en continue de ces derniers, un processus consommateur à la fois en temps et en compétences mobilisées, dont ne disposent d’ailleurs pas toujours les organisations.
La demande de formations en cybersécurité connaît une croissance substantielle en raison de l'augmentation du nombre de cyberattaques et du coût croissant des intrusions au cours des deux dernières années. Le "Rapport de fin d'année 2020 : Data Breach QuickView" publié par Risk Based Security a notamment révélé une augmentation des cyberattaques de 141 % par rapport à 2019. A la suite d’une étude que nous avons menée auprès d'un client, la demande de formation en cybersécurité a augmenté de 18 % entre le premier semestre de l'année 2021 et celui de l'année 2022, un résultat qui reflète bien les besoins croissants de formations dans le secteur.
Parmi les rôles les plus demandés dans le domaine de la cybersécurité, on peut citer l’ingénieur en cybersécurité, l’analyste en sécurité informatique, l’architecte de sécurité des réseaux, le développeur de logiciels de sécurité et le hacker éthique. Au-delà de l’expérience et compte tenu de la vitesse à laquelle la technologie progresse, les compétences doivent rester à jour. Pour cela, deux opportunités : suivre une formation à l'issue de laquelle un certificat sera délivré en cas de réussite à l'examen final, ou suivre un parcours de formations plus long et adapté aux besoins et aux objectifs spécifiques de l’individu et/ou de l’entreprise.
La cybersécurité étant un secteur très réglementé, l'identification des besoins implique un effort conséquent, et ce tout en gardant un œil attentif sur les évolutions rapides et constantes en matière de réglementation et de technologie.
L’externalisation de la formation peut présenter un certain nombre d’avantages en optimisant les différentes ressources : humaines, financières et logistiques. La première étape du processus de formation pouvant être prise en main par un organisme externe est le recueil, la compréhension et l’expression du besoin.
Pour les PME, ETI et grandes entreprises, cette étape demande énormément de temps et d’investissement de la part des managers comme des fonctions de ressources humaines et s’étale généralement sur une période de 2 à 3 mois. Bien que certaines structures puissent disposer d’un système d’information dédié à la gestion des ressources humaines (SIRH) automatisant ce recueil et le traitement des besoins de formation, externaliser cette étape administrative permettrait aux ressources mobilisées de se concentrer davantage sur leur cœur de métier, et dans ce cas à l’analyse des besoins exprimés à l’attention des instances représentatives obligatoires (IRP). Une analyse facilitée par le travail de reporting réalisé en amont par le prestataire.
Dans certains cas, le prestataire en charge du recueil des besoins peut également se voir confier la mission de sourcer l’offre la plus adaptée au besoin sur le marché. Son réseau et ses compétences en négociation pourraient être mis au profit de l’optimisation budgétaire du client qui bénéficierait ainsi de tarif préférentiel ou de montage financier favorable comme le recours aux opérateurs de compétences (OPCO).
S’en suivront les étapes de gestion des inscriptions et d’organisation logistique des sessions de formations à la fois pour les entreprises et les organismes de formation. Ce sont des tâches consommatrice en temps pouvant représenter, selon la densité de l’activité, environ 20 % du temps de travail d’un(e) chargé(e) de formation. Le temps alloué à ces missions pourrait ainsi être utilisé pour des missions plus impactantes et structurantes au service de l’amélioration continue, du développement de contenus digitaux (e-learning, serious game, etc.) ou encore du développement de l’offre (construction de parcours et contenus de formation), etc.
Recourir à l’externalisation peut présenter des risques qu’il faut savoir identifier en amont pour mieux s’en prémunir.
Le choix entre l'externalisation ou l'internalisation de la formation reste lié à la stratégie de l’entreprise et sa politique de développement des talents, avec une logique d’externalisation pour les PME dont les budgets alloués sont moindres et pour qui l’optimisation des coûts se révélera prioritaire . Pour les entreprises qui disposent d’un département Formation en interne, l’externalisation sera considérée dans une moindre mesure et restera une opportunité plus qu’une orientation stratégique. En matière de cybersécurité, l’externalisation de la formation permet de garantir une formation de qualité, animée par des experts à jour des dernières évolutions. Elle ouvrira également le spectre des enjeux de la cybersécurité grâce aux partages d’expériences éprouvées par les formateurs et autres participants.