Les critères pour évaluer un intervenant cybersécurité avant signature
Pourquoi les mauvais recrutements coûtent cher
Un intervenant cybersécurité mal choisi ne produit pas seulement un cours médiocre. Il génère une série de coûts cachés que les établissements mesurent rarement avant qu'il soit trop tard.
Le premier coût est pédagogique : des étudiants qui ressortent d'un module sans avoir acquis les compétences attendues. Cela se voit à l'examen, mais surtout plus tard, en stage ou en poste, quand leur employeur réalise que les fondamentaux manquent.
Le deuxième coût est organisationnel : quand un module dysfonctionne, c'est le responsable pédagogique qui absorbe les plaintes, gère les rattrapages, cherche un remplaçant en urgence et justifie la situation auprès de la direction. Ce temps n'est pas neutre.
Le troisième coût est réputationnel : dans les filières cyber, les étudiants communiquent entre promotions. Un cours raté circule vite, et il peut peser sur l'attractivité d'un programme entier.
La bonne nouvelle : ces coûts sont largement évitables. Non pas en cherchant le profil parfait sur le papier, mais en structurant l'évaluation des candidats autour de critères concrets, vérifiables avant la signature du contrat.
Cet article propose cinq critères opérationnels. Chacun est assorti de méthodes de vérification applicables dès maintenant, sans outillage particulier. Vous trouverez également les tarifs des intervenants cybersécurité en 2026 pour calibrer vos budgets en parallèle de votre évaluation.
Critère 1 — Alignement avec votre programme et votre syllabus
Un intervenant compétent dans son domaine n'est pas nécessairement compétent pour votre programme. L'alignement avec le syllabus est le premier filtre, et il doit être appliqué avant même de planifier un entretien.
Vérifier avant l'entretien
Transmettez au candidat le syllabus détaillé du module concerné — non pas un résumé, mais la liste des compétences visées, le niveau attendu des étudiants (licence, master, alternance, formation continue) et le nombre d'heures disponibles.
Demandez-lui de vous retourner un plan de cours commenté : comment couvrirait-il ces objectifs dans ce volume horaire ? Ce document, rédigé en amont de l'entretien, révèle plusieurs choses à la fois :
- Sa capacité à lire et s'approprier un programme existant
- Son sens des priorités pédagogiques (que choisit-il de traiter en profondeur ?)
- Sa conscience des contraintes de temps (coupe-t-il le superflu ou cherche-t-il à tout faire ?)
Un candidat qui renvoie un plan trop vague, trop ambitieux ou visiblement copié d'une de ses formations existantes envoie un signal clair : il n'a pas lu votre syllabus, il a collé son catalogue.
Utilisez notre check-liste brief de cours pour structurer ce premier échange et vous assurer de ne rien oublier.
Les questions à poser en entretien
Une fois le plan commenté réceptionné, l'entretien peut aller à l'essentiel :
- « Dans votre plan, vous avez prévu deux heures sur le hardening système. Pourquoi ce choix pour un public de licence 3 ? » — Cette question teste la justification pédagogique, pas seulement le contenu.
- « Si vous n'aviez que quatre heures au lieu de six pour ce bloc, que retirez-vous en premier ? » — Elle révèle sa hiérarchisation des priorités.
- « Avez-vous déjà enseigné à ce niveau ? Quelles adaptations avez-vous dû faire ? » — Elle ancre la discussion dans l'expérience réelle.
Un intervenant aligné ne cherche pas à défendre son plan : il l'ajuste avec vous, en temps réel, en expliquant ses choix. C'est un signal fort de maturité pédagogique.
Critère 2 — Qualité des supports et accessibilité
Les supports de cours sont le reflet direct de la façon dont un intervenant pense l'apprentissage. Un praticien brillant qui prépare des slides illisibles ou des TP sans consigne claire produit une expérience apprenant médiocre, quelle que soit la qualité de son discours oral.
Ce qu'un bon support révèle sur le formateur
Demandez systématiquement un exemple de support existant — pas une démo créée pour l'occasion, mais un document déjà utilisé en salle avec de vrais étudiants. L'objectif n'est pas de juger l'esthétique, mais de lire ce que révèle la structure :
Un bon support découpe l'information en séquences logiques, fait apparaître les objectifs de chaque bloc, propose des exemples concrets tirés de cas réels (sans données sensibles), et laisse de la place aux étudiants pour prendre des notes ou réaliser des exercices intercalés.
Un mauvais support est une longue liste de bullets denses, sans structuration pédagogique, avec des captures d'écran illisibles, des TP dont les prérequis techniques ne sont pas listés, et aucune indication sur le temps attendu par activité.
La lisibilité cognitive d'un support prédit directement la qualité de l'animation en salle : un intervenant qui a structuré sa pensée sur ses slides l'a structurée pour ses étudiants.
Grille d'évaluation des supports (tableau)
| Élément à évaluer | Signal positif | Signal d'alerte |
|---|---|---|
| Objectifs pédagogiques | Formulés par bloc, mesurables | Absents ou formulés en termes de contenu seul |
| Densité de l'information | Séquencée, aérée, une idée par slide | Murs de texte, tout sur une seule vue |
| Exemples et cas concrets | Tirés du terrain, anonymisés | Trop théoriques ou absents |
| Consignes de TP | Périmètre, durée, attendus explicites | Vagues, sans indication de temps |
| Mise à jour | Date de révision visible, contenu récent | Références à des outils obsolètes (>3 ans) |
| Accessibilité | Contraste, police lisible, légendes | Captures illisibles, pas de version imprimable |
Critère 3 — Gestion de salle et feedback étudiants
La compétence en gestion de salle ne se lit pas dans un CV. Elle se vérifie autrement.
La démo ou la session test
Si le volume de la mission le justifie (module de plus de 15 heures), demandez une session test de 30 minutes devant un petit groupe représentatif de votre public — quelques étudiants, un collègue, ou vous-même si nécessaire.
Ce que vous observez pendant ces 30 minutes :
- Comment il calibre l'entrée en matière : vérifie-t-il le niveau du groupe, pose-t-il des questions préliminaires, annonce-t-il clairement les objectifs de la séance ?
- Comment il gère le silence : quand personne ne répond à une question, reste-t-il à l'aise ou s'emballe-t-il ?
- Comment il traite les erreurs des étudiants : correction sèche ou moment pédagogique ?
- Comment il suit son temps : sait-il où il en est dans son plan, s'adapte-t-il si la session dure plus ou moins longtemps que prévu ?
Une session test courte révèle bien plus qu'un long entretien. Elle permet aussi à l'intervenant de comprendre votre public, ce qui bénéficie à tout le monde.
Collecter des retours d'anciens apprenants
Demandez à l'intervenant les coordonnées de deux établissements dans lesquels il est déjà intervenu. Contactez directement les responsables pédagogiques ou, si possible, quelques anciens étudiants.
Questions concrètes à poser à ces références pédagogiques :
- « L'intervenant respectait-il ses horaires et son planning ? »
- « Comment gérait-il les étudiants en difficulté ou les profils très avancés dans le même groupe ? »
- « Y a-t-il eu des incidents en salle (comportement, conflit, TP raté) ? Comment cela a-t-il été géré ? »
- « Le recommanderiez-vous pour le même public ? »
Ces questions directes, légèrement inconfortables, produisent des réponses beaucoup plus riches que « c'était bien » ou « les étudiants étaient satisfaits ».
Pour les cours de sensibilisation ou les modules ouverts à des publics non techniques, la gestion de salle est particulièrement critique : un intervenant qui ne sait pas adapter son langage perdra une partie de l'auditoire dès les premiers échanges.
Critère 4 — Sécurité des démos et respect du cadre légal
C'est le critère que les responsables pédagogiques oublient le plus souvent — jusqu'au jour où un incident se produit.
Un intervenant cybersécurité travaille avec des outils offensifs, des données potentiellement sensibles et des étudiants dont la curiosité technique peut dépasser les limites prévues. Définir et vérifier son rapport au cadre légal n'est pas une formalité administrative : c'est une nécessité opérationnelle.
Les situations à risque (TP hors périmètre, données réelles)
Les incidents les plus fréquents en TP cybersécurité se produisent dans trois configurations :
1. Le TP hors périmètre : un étudiant teste une cible non autorisée — sa propre entreprise, le réseau de l'établissement, un site public. Si l'intervenant ne cadre pas explicitement le périmètre autorisé et ne vérifie pas son respect, il engage sa responsabilité et celle de l'établissement.
2. L'utilisation de données réelles : certains intervenants apportent des captures de trafic réseau, des logs ou des fichiers issus de leur propre expérience professionnelle. Sans anonymisation rigoureuse, ces données peuvent contenir des informations personnelles ou confidentielles, exposant l'établissement à un risque RGPD.
3. La démonstration non maîtrisée : lors d'une démo live (exploit, fuzzing, interception réseau), une manipulation incorrecte peut avoir des effets non prévus sur l'infrastructure de l'établissement ou sur des systèmes tiers.
Questions de mise en situation (exemples)
Ces scénarios doivent être posés littéralement, sans contexte supplémentaire, pour observer la réaction spontanée :
-
« Un étudiant demande à tester sa propre entreprise en dehors du lab, pendant le TP. Que faites-vous ? » — La bonne réponse inclut un refus clair, une explication du cadre légal et une redirection vers le périmètre autorisé.
-
« Vous réalisez en cours de TP que la VM utilisée peut atteindre le réseau de production de l'établissement. Comment réagissez-vous ? » — La bonne réponse est l'arrêt immédiat, la notification du responsable technique et la vérification de l'isolation.
-
« Est-ce que vous apportez vos propres captures réseau ou vos propres données pour les TPs ? » — Un intervenant sérieux évoque spontanément l'anonymisation, les données fictives ou les jeux de données d'entraînement dédiés.
Un candidat qui hésite, minimise ou normalise ces situations sans évoquer le cadre légal est un risque pour votre établissement, quelle que soit sa valeur technique par ailleurs.
Critère 5 — Références vérifiables et adaptabilité
Comment vérifier une référence cyber efficacement
Les références de terrain en cybersécurité sont soumises à des contraintes particulières : les missions sont souvent couvertes par des accords de confidentialité, les employeurs ne peuvent pas toujours détailler les travaux réalisés, et les certifications sont plus visibles que les livrables concrets.
Voici comment vérifier efficacement sans tomber dans des vérifications superficielles :
Vérifiez les certifications en ligne. La plupart des certifications majeures — CompTIA CySA+, OSCP, CEH, CISSP — disposent d'un annuaire de vérification public ou d'un identifiant de certification vérifiable. Un candidat qui refuse de fournir son identifiant de certification pose une question légitime.
Vérifiez la présence professionnelle. Publications sur des plateformes techniques, contributions à des outils open source, interventions dans des conférences (Paris-Hacking, SSTIC, BotConf) ou dans des CTF connus — ces éléments sont vérifiables et signalent une implication réelle dans la communauté.
Distinguez les références professionnelles des références pédagogiques. Un excellent professionnel de la sécurité peut n'avoir aucune référence pédagogique. Dans ce cas, vérifiez s'il a des expériences de transmission informelles : mentorat, tutorat, documentation interne, talks internes en entreprise. L'absence totale d'expérience de transmission doit être traitée comme un facteur de risque, non comme une cause d'exclusion automatique.
Pour évaluer un profil de formateur cybersécurité complet, la combinaison expérience terrain + expérience de transmission reste le signal le plus robuste.
Tester l'adaptabilité : scénario imprévu
L'adaptabilité est la compétence la moins testée et la plus prédictive de la qualité d'un intervenant sur la durée. Un professionnel du terrain est habitué aux imprévus opérationnels ; il doit l'être aussi en salle.
Posez ce scénario en fin d'entretien : « À 30 minutes de la fin d'une séance de 3 heures, vous réalisez que vous avez couvert tout votre contenu prévu mais les étudiants ne semblent pas avoir compris la moitié des concepts. Il vous reste 30 minutes. Que faites-vous ? »
Un intervenant adaptable propose immédiatement une alternative concrète : retour sur les points de blocage, exercice rapide de consolidation, question ouverte pour identifier précisément les incompréhensions. Un intervenant peu adaptable propose de passer à la suite ou de terminer en avance.
Ce scénario teste également la conscience pédagogique du candidat : sait-il distinguer le fait d'avoir présenté un contenu du fait que les étudiants l'ont réellement assimilé ?
La grille de décision finale
Synthèse des cinq critères avec indicateurs de signal pour faciliter la décision :
| Critère | Signal vert | Signal orange | Signal rouge |
|---|---|---|---|
| 1. Alignement syllabus | Plan de cours commenté, ajusté à votre programme, avec justifications pédagogiques | Plan générique avec quelques adaptations de surface | CV ou catalogue envoyé à la place du plan ; aucune lecture du syllabus |
| 2. Qualité des supports | Supports structurés, objectifs visibles, TP documentés, contenu récent | Supports fonctionnels mais peu structurés ; TP peu documentés | Murs de texte, captures illisibles, outils obsolètes, pas de consignes de TP |
| 3. Gestion de salle | Session test solide ; références pédagogiques positives et vérifiées | Session test correcte ; une référence pédagogique mais pas deux | Refus de session test ; aucune référence pédagogique disponible |
| 4. Cadre légal | Évoque spontanément périmètre, RGPD, anonymisation sans qu'on lui demande | Connaît les règles mais ne les cite pas spontanément ; à encadrer | Hésite ou minimise les risques légaux ; n'a pas de réponse sur le périmètre des TP |
| 5. Références et adaptabilité | Certifications vérifiables, expérience de transmission, scénario imprévu géré avec fluidité | Certifications valides ; peu d'expérience pédagogique formelle ; adaptation laborieuse mais honnête | Références non vérifiables ; aucune expérience de transmission ; scénario imprévu non géré |
Lecture de la grille :
- Trois verts ou plus : profil à prioriser, les zones orange sont gérables par un bon brief de démarrage.
- Deux verts, pas de rouge : profil envisageable avec un encadrement renforcé les premières séances.
- Un rouge sur le critère 4 (cadre légal) : risque juridique pour l'établissement, à traiter comme un point bloquant quelle que soit la qualité des autres critères.
- Deux rouges ou plus : profil à écarter, quel que soit l'urgence de la situation.
Ce qu'il faut retenir
- L'alignement avec le syllabus se vérifie avant l'entretien, en demandant un plan de cours commenté : c'est le filtre le plus rapide et le plus discriminant.
- Les supports existants sont un miroir de la pensée pédagogique de l'intervenant : demandez toujours un document déjà utilisé, jamais une démo préparée pour l'occasion.
- La gestion de salle ne se lit pas dans un CV : une session test de 30 minutes et deux appels de références pédagogiques vérifiées valent mieux que n'importe quel entretien long.
- Le respect du cadre légal doit être testé par scénario : un intervenant qui n'évoque pas spontanément le périmètre, l'autorisation écrite et le RGPD est un risque opérationnel concret.
- L'adaptabilité est la compétence la moins visible et la plus prédictive : un scénario imprévu en fin d'entretien révèle ce qu'aucun CV ne montre.
Ces cinq critères ne garantissent pas l'intervenant parfait — il n'existe pas. Ils garantissent une décision éclairée, fondée sur des éléments vérifiables et non sur des impressions ou des certifications listées en gras sur un CV.
Vous cherchez un intervenant cybersécurité déjà évalué sur ces critères ?
Cyber Teachers sélectionne ses intervenants selon un processus rigoureux : alignement programme, vérification des références pédagogiques, session test et conformité au cadre légal des TP. Contactez-nous pour trouver le profil adapté à votre établissement.