Pour inverser cette tendance, il devient urgent de réinventer le recrutement en gardant à l’esprit la dimension dynamique du secteur pouvant entraîner une obsolescence rapide des compétences.

Pour ce faire nous proposons cet éclairage, cinq points de vigilance :

Le recrutement ne doit pas se penser en terme de « poste à pourvoir » mais bien en terme de « recherche de talents »

Les besoins en termes de cyber-personnel découlent directement des stratégies défendues par le RSSI. Classiquement on cherche à remplacer le poste devenu vacant. Or, la constante évolution des technologies invite à repenser, construire et enrichir continuellement la stratégie sécurité mise en place. Certains éléments peuvent être automatisés voir même externalisés. A titre d’exemple, les hébergements Cloud offrent leur propres outils de sécurité ce qui offre une externalisation partielle de la sécurité des services hébergés. Par contre, cette stratégie requiert le recrutement de nouveaux talents associés à ces environnements “cloud”. Avant tout recrutement il convient de se re-questionner sur cette stratégie et sur le juste besoin de compétences en cybersécurité pour la mission.

Les « super experts » ne sont pas la solution à tous les besoins

Ainsi, la cyber sécurité touche non seulement tous les aspects de l’informatique, mais aussi la finance et les processus métier. Or, aujourd’hui de nombreuses entreprises tombent dans le piège de rechercher des candidats licornes qui ont déjà toute cette expérience – et se retrouvent ensuite frustrés : il n’y a pas beaucoup de personnes possédant les compétences complètes et le marché les paie le plus cher. On assiste à un biais de recrutement entraînant une surévaluation des compétences techniques en cybersécurité nécessaires au regard des enjeux économiques de la mission. Les « super experts » en cybersécurité sont les spécialistes qui doivent faire face à des menaces persistantes avancées, à des attaques multi-vagues dans des environnements complexes, ou à des situations de destruction complète de données. Ces compétences sont extrêmement spécifiques et ne reflètent pas l’éventail des besoins dans le domaine de la cybersécurité.

Réaliser une juste évaluation du besoin

Il existe de nombreux rôles différents liés à la sécurité, allant du développement, de la conception et de la vente de logiciels aux services de conseil et de management en sécurité ; tous ne nécessitent pas un niveau d’expertise en cybersécurité élevé. Pour chaque recrutement il est nécessaire d’identifier dans la riche palette des compétences en cybersécurité le niveau précis de chaque compétence attendue.

En termes de diversité de compétences, les métiers de la cyber sécurité englobent à la fois des aspects techniques et non techniques, nécessitant des compétences plus larges en matière de gestion et de communication. Notons, que parmi les 11 compétences de cyber sécurité identifiées par Fischer en 2019 plus de la moitié sont transverses à d’autres domaines tels que la sécurité (audit, conformité et tests) ou le management (gestion des équipes, leadership). Par ailleurs, une tendance naturelle des recruteurs est de surévaluer le niveau de compétences nécessaires. A partir d’une très riche revue de la littérature sur les métiers en cybersécurité Furnell (2021) a pu distinguer six niveaux de compétences: Allant du niveau 1 « connaissance » (a acquis et peut démontrer une connaissance de base associée de la compétence, suivi des bonnes pratiques d’utilisation) au niveau 6 « praticien expert» (niveau d’expertise reconnu par les pairs. Il initie, permet et assure. C’est le niveau qui dirige la mise en œuvre de la compétence).

Exiger un diplôme d’études supérieures ou « pourquoi ne pouvons-nous pas trouver les candidats dont nous avons besoin ? »

Il existe un énorme vivier de talents inexploités : la clé est de trouver la bonne approche pour embaucher ces personnes. (i) Ne plus exiger un diplôme. Le plus grand obstacle auquel les entreprises sont confrontées lorsqu’elles essaient d’embaucher des talents en cybersécurité.  (ii) S’inscrire dans une “approche nouveau col” qui implique de faire appel à des professionnels qui n’ont peut-être pas de diplôme universitaire traditionnel mais qui possèdent les compétences et aptitudes techniques nécessaires. Cette approche mise en place par l’ancien dirigeant d’IBM, Ginny Romety en 2016 se concentre sur les compétences, l’expérience et les aptitudes plutôt que sur les diplômes. Une fois embauchés, ces nouveaux employés doivent viser un apprentissage continu et une croissance professionnelle. (iii) Embaucher pour la capacité, pas pour les certifications. La cybersécurité, en tant qu’industrie, est confrontée à des défis familiers sur la façon de formaliser la connaissance. On observe une multitude d’acronymes de certifications de fournisseurs, ce qui rend très difficile de déterminer les compétences réelles d’une personne. Au lieu de se concentrer sur les certifications, il peut être plus utile de creuser dans les pratiques du candidats en s’intéressant aux codes partagés sur GitHub, aux outils construits, à des activités sur des projets open source…

Acquérir des talents en les formants

Il est donc possible de réduire la pénurie de talent en ouvrant l’éventail des profils recherchés. Il s’agit alors pour les organisations de se demander si certaines des compétences recherchées peuvent être trouvées dans un métier, poste différent ou si une expérience de travail pertinente peut suffire pour les qualifications de sécurité.

• Prospection en interne couplée à de la formation. De nombreux nouveaux rôles et domaines émergent dans le domaine de la sécurité, tels que la gestion des risques, la stratégie et la gouvernance de la sécurité, DevSecOps, la gestion des identités et des accès, la chasse aux menaces, l’orchestration de la sécurité, l’automatisation et la réponse/automatisation informatique, l’IA en sécurité, etc. l’écosystème doit collaborer pour aider à remédier à cette pénurie de compétences. Un ingénieur réseau qui a travaillé sur les pare-feu et la protection DDoS est un candidat de choix pour une formation polyvalente dans un rôle d’ingénierie de sécurité. Un responsable financier qui a audité des processus pourrait être un bon candidat pour se former à un rôle de gouvernance.
• Les établissements d’enseignement supérieur sont essentiels pour combler le manque de compétences en matière de cybersécurité et ce, que ce soit en amont ou en aval de l’embauche. Conscientes de cela, les organisations peuvent s’associer avec des écoles d’ingénieurs et des universités pour aider à offrir aux étudiants en cyber sécurité l’expérience dont ils ont besoin pour réussir dans leur carrière. Aujourd’hui, 66 établissements de formation d’enseignement supérieur répartis sur l’ensemble du territoire (octobre 2021) répondent au label qualité « SecNumedu» délivré par l’ANSSI.  Les organisations plus que jamais doivent s’allier aux établissements d’enseignement pour (1) financer  l’alternance, offrir des stages, des collaborations « junior consulting » (2) créer de nouveaux programmes de formation initiale à l’instar du programme P-Tech  (3) implémenter des chaires entreprises (Schindelheim, 2018).