Interview de Patrice Chelim, directeur et co-fondateur de l’école la CSB.School, qui vient d’annoncer sa 1ère levée de fonds pour un montant de 4 millions d’euros.
Comment vous est venue l’idée de créer CSB.School ?
La genèse de CSB.School est issue des activités que mes associés et moi-même avons pu conduire dans notre passé professionnel. Avant de lancer cette idée de création d’école de formation en cybersécurité, nous étions RSSI du groupe industriel belge de chimie de spécialités, belge, Solvay. Dans le cadre de nos activités, nous étions confrontés à la difficulté de recruter des personnes formées à la cybersécurité et qui soient opérationnelles. De ce fait, nous avons appliqué deux méthodes.
La première, c’était de taper à la porte des usual suspects, que sont les cabinets de conseil en cybersécurité tels qu’Accenture, Orange Cyberdéfense, Thalès, ou PwC. Ils nous ont beaucoup aidés pour structurer nos idées, ainsi que pour structurer la feuille de route stratégique en termes d’amélioration de la posture de cybersécurité du groupe. En revanche, dès qu’il s’agissait d’exécuter ou de trouver les ressources pour faire, ils rencontraient exactement le même problème que nous, celui de la pénurie de ressources. D’ailleurs, nous le constatons de façon encore plus aiguë depuis que nous sommes passés de l’autre côté de la barrière et que nous formons maintenant dans ce domaine.
La deuxième que nous avons mise en place à l’époque, c’était de former en interne. Nous sommes allés chercher, avec mon équipe, des jeunes, éloignés de ces métiers techniques de l’informatique ou de la cybersécurité, pour les former. Nous les avons mis sur ces métiers et nous avons réalisé une réelle réussite notamment avec une personne, qui avait une formation de master en management international et qui travaillait au service facturation du groupe, et à laquelle nous avons proposé d’évoluer en cyber. Il n’était pas rebuté par la matière et avait une certaine appétence pour l’informatique. Il a accepté de relever ce défi et a pris en charge, à moins de 30 ans, la supervision des tests d’intrusion du groupe et la revue des exigences de sécurité qui dérivent des obligations de conformité dans les domaines du contrôle des exportations et de protection des données personnelles. Donc une réussite ! D’ailleurs, il soutient sa thèse de doctorat sur le sujet de la cybersécurité dans deux mois. Un beau parcours en quatre ans ! Nous avions déjà constaté au bout de deux ans que cela fonctionnait plutôt bien et nous nous sommes demandé : « comment pourrions-nous industrialiser ce processus ? »
L’idée de monter une école est-elle venue tout de suite ?
L’idée à la base n’était pas de fonder une école. Mais plutôt de créer un programme de formation, un master que nous aurions construit, sur lequel nous interviendrions en termes de contenus et de cours. Le but était finalement de créer un vivier de ressources dans lequel nous pourrions puiser pour les besoins de notre activité de l’époque. Pour des raisons administratives diverses et variées, cela n’a pas fonctionné.
Le projet est tout simplement resté dans les cartons.
L’année dernière, finalement, avec deux autres collègues et aujourd’hui associés, nous nous sommes dit : « Cette école, nous allons la créer nous-mêmes ». Cette idée s’est d’autant plus renforcée que lorsque je me rapprochais de pairs RSSI d’autres groupes, tout le monde corroborait le fait qu’il y avait une pénurie de ressources. Quand je posais la question : « Mais qu’est-ce qu’on fait à ce sujet ? ». Les réponses n’étaient guère satisfaisantes. La réponse était la plupart du temps : « Nous allons débaucher les ressources en offrant 20 % de salaire en plus que le concurrent d’à côté ». Certes, c’est là le jeu de la concurrence. Mais du coup, plutôt que de faire grossir le gâteau des ressources, nous nous passions les parts les uns aux autres, donc nous ne réglions pas le problème. Il est vrai que beaucoup de RSSI ont des postes confortables, c’est-à-dire des postes à responsabilités dans des groupes qui ont des moyens et des ressources sur ces sujets de cybersécurité mais dont la mission finalement restait de sécuriser les installations et pas forcément de former.
Il a fallu prendre notre bâton de pèlerin et nous dire : « nous nous lançons ! »… Un des éléments distinctifs de cette école est qu’elle est créée par des professionnels, en tout cas, des personnes qui ont été confrontées, qui ont travaillé dans le domaine. Nous nous sommes également entourés de professionnels de l’éducation, de la formation, de la pédagogie pour rendre cette matière intelligible avec une logique d’apprentissage intéressant des profils qui n’étaient pas forcément prédestinés ou qui se mettaient un certain nombre de barrières voire s’autocensuraient. L’un des problèmes de la filière cyber, reste son image. Aujourd’hui, elle manque encore d’attractivité, dans le sens où beaucoup s’en font une sorte d’image d’Épinal, de matière très technique, réservée à une certaine élite, ou à un hackeur à capuche qui code sur son ordinateur tard le soir dans sa cave ou son garage.
Quel est l’enjeu fondamental ?
Notre enjeu, au-delà de lancer cette école, c’est surtout de dynamiser, d’améliorer l’image et l’attractivité de la filière en démontrant qu’elle est ouverte à tous. Il ne s’agit pas que de créer une école de cybersécurité. En amont, il y a tout un travail à faire pour expliquer la raison d’être, démystifier, vulgariser, démocratiser le sujet et expliquer la variété des métiers qui se retrouvent derrière la cybersécurité. Nous parlons d’une trentaine de métiers qui ne sont pas tous cantonnés à la technique. Nous voulons susciter des vocations qui font qu’en conséquence nous augmenterons le nombre d’étudiants qui iront dans cette filière. La cybersécurité aujourd’hui est vraiment un domaine à part entière, ce n’est pas un sous domaine de l’informatique. C’est de la technique certes, mais pas que.
Vous êtes toujours en poste tous les trois et vous êtes tous dans la même société ?
Mes deux associés, Guillaume Collard, Thomas Guilloux et moi l’avons quittée. Guillaume Collard a une formation universitaire : licence, master, doctorat dans le domaine de la cybersécurité et est expert en cybersécurité informatique. Thomas Guilloux a débuté sa carrière en maintenance industrielle dans le secteur nucléaire, et a ensuite évolué vers la cybersécurité industrielle. Nous avons tous les trois quitté nos fonctions pour justement nous lancer dans cette aventure, qui est aussi une aventure entrepreneuriale, de création d’une école de zéro avec tout ce qui va autour.
Comment vous êtes- vous répartis les rôles, puisque vous aviez des fonctions tous les trois dans la cybersécurité ?
Aujourd’hui, Guillaume est notre COO, notre directeur en charge des opérations et du développement. C’est lui qui structure le projet de l’école et s’assure que ces différentes étapes se concrétisent. Thomas est notre CTO, notre directeur technique en charge des partenariats techniques et de notre plateforme de simulation qui sert de base à notre modèle pédagogique. Moi, je suis le CEO, en charge de la direction générale et de la supervision de notre équipe pédagogique.
Quelles ont été les grandes étapes jusqu’au lancement de la première promotion qui a eu lieu en septembre ?
Quand l’idée du projet a émergé, la première étape a été de constituer l’équipe afin d’embarquer les bonnes compétences. Je pense que, si nous y arrivons aujourd’hui, c’est parce que nous avons réussi à réunir autour de nous des compétences dans les domaines de la formation professionnelle, de l’ingénierie pédagogique, de l’informatique pour monter notre plateforme, dans la gestion de la scolarité, dans les fonctions supports que sont la finance et la communication. Cela a compté énormément pour fédérer l’équipe autour de cette idée un peu folle qui était de créer une école à partir de zéro. Ceux, qui étaient présents il y a quinze mois, ne sont évidemment pas tous restés dans l’aventure car certains se sont dit : « C’est peut-être un peu risqué » et ils ne voulaient pas tous nous rejoindre tout de suite. Or, nous voulions vraiment des gens impliqués qui croyaient à l’idée et qui étaient prêts à s’investir immédiatement.
Quelle a été l’étape suivante ?
Il a fallu sonder les entreprises. Nous souhaitions former ou créer un programme de formation qui réponde à leurs besoins en profils et compétences. Nous sommes donc allés frapper à la porte des personnes que nous connaissions, de notre réseau professionnel dans le cadre de nos anciennes activités et qui sont des partenaires aujourd’hui, notamment Schneider Electric, Airbus, Thalès avec lesquels nous avons eu l’occasion de travailler. Notre approche était assez appréciée parce qu’ils nous ont indiqué que c’était finalement, la première école de formation qui venait les voir pour leur demander quels étaient leurs besoins. Pour nous, c’était une démarche logique puisque nous étions avant à leur place. Ensuite, il a fallu évidemment trouver un lieu pour accueillir notre projet. Donc là, nous nous sommes faits aussi accompagner.
D’ailleurs, pourquoi avoir choisi Lyon ?
Lyon pour trois raisons principales. La première, c’est justement que nous souhaitions mettre l’accent sur la cybersécurité industrielle. Aujourd’hui, nous voyons un développement assez fort de l’industrie 4.0 avec des objets connectés, l’installation des IOT, des capteurs divers et variés au sein des processus industriels pour améliorer et optimiser la productivité et les services associés. Lyon offre aussi un tissu économique, un bassin industriel sans commune mesure par rapport aux autres régions françaises. Il s’agit de quelque chose que nous aurions implanté plus difficilement à Paris car les activités sont plutôt des activités de services dans la capitale.
La deuxième raison est que la cybersécurité est un axe fort du développement lié aux priorités de la Région Auvergne-Rhône-Alpes. Nous savions donc que nous étions dans une région où le sujet est inscrit au cœur de la stratégie territoriale.
La troisième raison, c’est pour l’attractivité. C’est-à-dire qu’aujourd’hui, les étudiants, notamment dans une période post-covid, même si je ne suis pas certain que nous en soyons complètement sortis, ont peu envie de vivre dans une chambre de bonne de 10m² au sixième étage avec les toilettes sur le palier. Ce n’est pas forcément la panacée et Lyon offre une certaine qualité de vie qui est attractive pour les jeunes qui rejoignent notre école.
Et la suite ?
Il a fallu évidemment trouver les fonds. Nous nous sommes fait accompagner pour lever les fonds auprès d’investisseurs privés qui partageaient avec nous ce même esprit entrepreneurial. Nous avons aussi associé à notre levée de fonds nos salariés, qui étaient avec nous au début et qui croyaient au projet. Nous avons levé des fonds à la fois d’un côté entrée capital, mais aussi d’un point de vue emprunt bancaire. Il est certain cependant que tout cela ne tient que si on n’est pas que sur la création de contenus pédagogiques. Parce que ce que nous souhaitons c’est d’être des producteurs de contenus de formation en cybersécurité : sur les 16 personnes de l’équipe, il y en a d’ailleurs 12 qui donnent des cours et qui sont intervenants au sein de l’école en disposant de cette expérience professionnelle préalable. Pour nous, cela comptait vraiment d’avoir des profils polyvalents qui à la fois se lancent dans l’aventure entrepreneuriale, qui montent une école, qui sachent créer des contenus pédagogiques, mais qui possèdent aussi une expertise technique qu’ils peuvent transmettre aux étudiants.
Au final, il fallait aussi recruter des étudiants et là aussi selon des critères nouveaux et différents de ce que nous pouvons voir aujourd’hui. Aujourd’hui, en cyber, le profil type est généralement le suivant : « je suis un homme, je suis fort en maths, je fais un bac S et une école d’ingénieur pour arriver en cyber » Nous, nous nous disons qu’en appliquant ces recettes, nous reproduisons des clones et nous ne contribuons pas à la diversité d’une filière qui ne représente pas la société qu’elle est censée protéger. Nous avons d’ailleurs appliqués cette recette à nous-mêmes, c’est-à- dire que les alternants, présents chez nous, répondent à ces critères. Ce sont souvent des collaborateurs en reconversion qui ont rejoint l’équipe.
Les étudiants que vous recrutez ont quels profils ?
Nous avons un tiers de nos étudiants qui sont des passionnés d’informatique ou de sécurité informatique, donc j’ai coutume de dire qu’ils sont tombés dedans quand ils étaient petits. Un deuxième tiers composé des jeunes diplômés Bac +2 à +5, qui ont fait des études de droit, d’histoire, de mathématiques et aussi d’informatique. Ces derniers cherchent à se démarquer sur le marché de l’emploi et se disent que finalement, les compétences qu’ils ont acquises dans le cadre de leur parcours académique, ne leur permettent pas de se distinguer sur le marché de l’emploi. Ils voient dans la cybersécurité un marché assez porteur. Il faut dire que nous parlons de 15 000 postes vacants aujourd’hui et de 30 000 postes vacants à horizon 2030. Le troisième tiers sont des profils qui ont 10, 15, 20 ans d’expérience, qui sont en reconversion professionnelle et qui viennent soit de la pétrochimie, de l’immobilier, de la vie associative et culturelle ou bien de la logistique.
Quand vous parlez des fonds, vous parlez aussi de la levée de fonds que vous avez faite à hauteur de 4 millions ?
La levée de fonds, elle nous a servi à financer l’aménagement du bâtiment dans lequel nous nous trouvons. Il représente un superbe outil de travail qui se trouve à dix minutes à pied de la gare Part-Dieu, bien situé donc en terme d’emplacement, et que nous avons entièrement rénové du sol au plafond. Nous avions cinq étages des plateaux nus que nous avons donc dû aménager. Ensuite, elle nous a servi à investir massivement dans notre plateforme technologique qui est un élément clé de notre modèle pédagogique. J’insiste vraiment sur ce point, car c’est un élément très différenciant par rapport à d’autres écoles. Nous ne retrouvons nulle part ailleurs des écoles qui investissent aussi massivement dans la techno parce que nous avons la conviction que la cybersécurité, c’est une matière qui ne se vit et ne s’apprend que par la pratique. Nous voulons vraiment les mettre en condition et nous comptons sur le soutien de nos partenaires qui nous fournissent du matériel technique, tels que Aribus et Schneider Electric par exemple. Nous avons l’ensemble des solutions de sécurité présentes sur le marché de façon à ce que les étudiants puissent les tester en conditions proches du réel et qu’ils apprennent non pas à sélectionner la meilleure solution technique sur le marché, mais la plus pertinente en fonction de leur contexte d’organisation. Parce que là aussi, c’est très important. La technique est fondamentale, elle est nécessaire, mais pas suffisante. L’image que j’emploie souvent, c’est qu’on ne sécurise pas de la même manière une usine d’armements qu’une usine de biscuits. Ce sont souvent les mêmes solutions techniques, mais pas la même façon de les aborder ou de les déployer. Notre école ne se veut pas comme un alignement de chaises, de tableaux blancs et de cours magistraux, mais vraiment comme un lieu où il est possible de s’entraîner sur du matériel professionnel et qui se veut comme le prolongement de l’entreprise. Il s’agit de combler ce décalage entre le monde académique et le monde de l’entreprise. C’est vraiment cela notre leitmotiv. Le contenu pédagogique est créé par nos experts, qui sont également ceux qui délivrent les cours et encadrent les travaux pratiques et dirigés.
La levée de fonds, elle nous a servi à financer l’aménagement du bâtiment dans lequel nous nous trouvons.
Quelles sont les perspectives futures ?
Nous allons d’abord compléter et pérenniser ce que nous avons construit. La cybersécurité est une matière qui évolue rapidement et qui requiert d’être constamment mise à jour. Nous avons l’ambition de monter au sein de l’école un incubateur qui permet d’accueillir des étudiants qui ont des velléités d’innovation sur ces sujets cybersécurité, qui peuvent bénéficier des infrastructures de l’école et de la plateforme technologique dans laquelle nous avons investi. Il y a aussi des externes qui veulent tester les solutions et créer leur start-up. Néanmoins, ce n’est pas notre vocation de créer des start-ups, c’est plutôt de les accompagner dans la fameuse vallée de la mort. En fait, la difficulté en cybersécurité c’est que même s’ils ont une bonne idée, ils n’ont généralement pas la possibilité de la tester pour savoir si elle est viable. Comme nous avons reproduit un bac à sable, ils peuvent tester sans risque de se tromper ou d’arrêter la production, puisque souvent, c’est cela le problème en cyber : quand nous voulons tester des solutions de cybersécurité, il n’y a pas beaucoup de candidats.
Et puis surtout, c’est aussi de compléter notre dispositif technologique pour se doter des dernières technologies de pointe. Tout notre enjeu, c’est de transformer ce matériel professionnel en matériel à visée pédagogique. Nous avons les compétences en interne, mais il faut aussi que nous allions chercher des compétences externes.
Que propose CSB.SCHOOL ? Quelle est son offre ?
Aujourd’hui, nous offrons deux formations, une formation de Bachelor qui amène un niveau bac+3 de spécialiste en cybersécurité. Une autre de master en deux ans qui amène à un niveau bac+5 de manager en cybersécurité avec quatre spécialités, une spécialité GRC gouvernance, gestion des risques et conformité, une autre en cybersécurité IT avec tous les sujets qui tournent autour de la blockchain, du cloud, de la gestion des identités. Une troisième spécialité SOC (Security Operation Center, ndlr), qui consiste à la gestion d’événements, d’alertes, d’incidents et de crises de cybersécurité. La dernière est celle de la cybersécurité industrielle qui couvre la sécurisation des installations industrielles et des objets connectés.
Quel a été le plus grand défi que vous avez rencontré et comment vous l’avez surmonté ?
Des défis nous en avons rencontré beaucoup, comme dans tout projet entrepreneurial. J’en vois cependant deux qui m’ont plus particulièrement marqué.
Le premier, c’était plutôt le défi administratif de convaincre les établissements bancaires de nous suivre dans l’aventure. Il a fallu faire preuve de persuasion, de conviction, ne serait-ce que pour monter la structure. Nous avons surmonté ce défi en nous entourant des bonnes compétences pour nous aider à lever les fonds, pour négocier avec les banques mais aussi pour trouver le bon emplacement. En fait, quand nous regardons aujourd’hui, nous sommes seize dans l’équipe, mais en fin de compte, c’est une centaine de personnes qui ont contribué de près ou de loin au projet depuis ses débuts.
Le deuxième défi a été de faire en sorte que nous changions de « logiciel. ». Aujourd’hui, nous entendons beaucoup parler de cybersécurité et partout nous le constatons : nous avons un manque cruel de ressources en cyber ! Pour autant, s’il y a une prise de conscience, ce n’est certainement pas en utilisant les mêmes recettes que nous allons résoudre ce problème de pénurie, il y a encore du chemin à faire. Il faut changer les critères de sélection et de recrutement ainsi que notre façon d’évaluer un profil susceptible d’évoluer dans ce domaine. C’est vrai que lorsque je reçois l’ensemble des candidats, je ne les vois pas avec ma casquette de directeur d’école mais davantage avec celle de professionnel en me demandant dans quel domaine, dans quel type de métiers ils seront plus à même de réussir.
Est-ce que ce sera en Conseil ? chez un Grand Compte ? En PME ?
Nous ne recrutons pas « au » cv mais vraiment sur les compétences comportementales et la motivation. Pour recruter différemment, en cyber comme dans d’autres domaines, il faut un alignement fort entre les RH, les managers opérationnels et les dirigeants. Les dirigeants qui poussent pour plus de diversité, les managers opérationnels qui ont un besoin immédiat en termes de performance et les RH qui reçoivent un grand volume de candidatures à traiter, avec des critères de sélection qui font qu’ils peuvent parfois passer à côté d’un bon profil. Nous les accompagnons en phase amont de préqualification en fonction de leurs besoins. Nous avons une responsabilité conjointe, entre l’entreprise et notre école, de former ses futurs talents, ce qui demande du temps. Il s’agit de faire évoluer les pratiques par rapport à la sélection, à la formation et au recrutement.
Est-ce qu’il y a un point que vous voulez aborder que je n’ai pas abordé ?
Juste rappeler quelques caractéristiques de l’école. C’est 100 % pratique, les étudiants s’entraînent sur du matériel professionnel de cybersécurité. C’est 100 % d’alternance et c’est nous qui connectons les étudiants aux entreprises dans lesquelles ils auront la possibilité de conduire une mission d’alternance. Et puis, c’est 0 € de frais de scolarité pour les étudiants car dans le cadre de l’alternance, ils sont pris en charge par nos entreprises partenaires.
Notre enjeu, au-delà de lancer cette école, c’est surtout de dynamiser, d’améliorer l’image et l’attractivité de la filière en démontrant qu’elle est ouverte à tous. Il ne s’agit pas que de créer une école de cybersécurité.