Etude de marché
Les secrets du recrutement dans la cybersécurité
S’il y a bien quelque chose qui n’a pas de prix, c’est la santé. Pour une entreprise, c’est pareil. C’est pourquoi les métiers de la cybersécurité sont en pleine croissance et de plus en plus demandés dans les entreprises. La raison est la multiplication des attaques sur les systèmes d’information ainsi que l’augmentation de la complexité des SI. En conséquence, il est nécessaire de renforcer la sécurité de ces derniers. Cependant, pour atteindre un bon niveau de cybersécurité, il est essentiel de s’entourer des meilleurs talents. Mais cette quête est parsemée d’embûches. Il y a une pénurie de talents en IT, ce qui entraîne des difficultés pour les entreprises, notamment dans le recrutement. L’objectif de cet article est de mettre en évidence les enjeux et les défis du recrutement en cybersécurité.
Les enjeux de la cybersécurité
Le domaine de la cybersécurité a connu une énorme croissance ces dernières années. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les cyberattaques ont augmenté de 400 % depuis 2020, représentant un impact de 2 milliards d’euros en 2022. En 2021, la cybersécurité a généré 16 000 emplois. Ces chiffres montrent clairement que le domaine de la cybersécurité est en constante évolution. Rien que pour les Jeux Olympiques, il était au cœur des préoccupations en raison de la menace d’une attaque sur certains systèmes vitaux (aéroports, gares, hôpitaux…). Le système de défense était à son paroxysme, notamment en termes de cybersécurité. Un dispositif a été mis en place pour informer les personnels du CNCS (Centre national de commandement stratégique) et de l’ANSSI sur les événements cyber qu’ils détecteraient.
“La sécurité doit être perçue comme un facilitateur du business.”
Cependant, la cybersécurité n’est pas seulement un sujet pour les services publics. Selon un sondage du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 49 % des entreprises interrogées ont été victimes d’au moins une attaque au cours de l’année écoulée. La principale cause étant la mise en place de mauvaises pratiques en termes de SSI (sécurité des systèmes d’information). Les garants de la SSI sont les RSSI, qui ont pour rôle d’assurer la sécurité et l’intégrité du système d’information et des données. La plupart des RSSI affirment que “la sécurité doit être perçue comme un facilitateur du business.” Le plus difficile étant de trouver le juste milieu entre fournir de l’aide tout en empêchant les erreurs graves.
Un RSSI d’un grand groupe immobilier, ayant souhaité garder l’anonymat, nous confie les clés pour réussir à mettre en place un bon système de sécurité :
“Ça passe beaucoup par le relationnel. Notamment dans le cadre d’une création d’activité, les équipes n’ont pas l’habitude de venir vers les RSSI, ce qui signifie qu’il est crucial qu’elles aient envie de partager leurs projets afin d’éviter le shadow IT. Il est important de comprendre les besoins du métier et d’être adaptable.
Il s’agit d’un équilibre délicat ; il faut être une main de fer dans un gant de velours, en persuadant les équipes que la sécurité est utile, sans donner l’impression que nous allons systématiquement freiner leurs projets.”
La mise en place d’un bon SSI ne peut pas se faire uniquement par l’intermédiaire du RSSI. Celui-ci doit être évidemment accompagné par un recrutement aligné avec la stratégie de l’entreprise. Mais comment recruter efficacement dans le domaine de la cybersécurité ?
Le recrutement en cybersécurité, tout un art
Recruter est assez facile de nos jours, mais bien le faire est plus complexe, notamment dans le domaine de la cybersécurité. Lorsque l’on demande aux RSSI quelles sont les qualités requises pour ce poste, l’adaptabilité et la communication reviennent assez souvent :
“On se trouve en effet à l’intersection entre des environnements très techniques et des personnes qui ne le sont pas du tout. L’enjeu est donc de jouer le rôle de traducteur entre deux domaines qui ne se comprennent pas et qui n’ont pas forcément envie de se comprendre.”
Des propos confirmés par un RSSI au sein d’une grande école de commerce :
“Dans la cybersécurité, le plus compliqué ce n’est pas la partie technique, c’est l’humain. Il faut faire comprendre à tous les utilisateurs que la solution choisie est bénéfique pour eux.” Il ajoute une mention pour les personnes avec de hautes responsabilités dans l’entreprise : “C’est d’autant plus compliqué pour des ‘VIP’. Je prends mon exemple, avec les professeurs qui n’aiment pas qu’on leur dise ce qu’il ne faut pas faire.”
Les RSSI, du fait de leur poste, ont la charge du recrutement pour leur service, ce qui n’est pas forcément une mince affaire car les bons profils ne courent pas les rues. “Les grandes difficultés de recrutement viennent du manque de ressources, dû en partie à la mobilité des profils cyber qui ne restent pas longtemps en place,” nous explique un professionnel du milieu.
Outre la communication, on demande en SSI d’être également réactif et force de proposition, notamment lorsque le cadre n’est pas bien défini :
“En SSI, il faut être proactif. Il est essentiel de chercher, de creuser, d’identifier des sujets, de proposer des pistes, et de ne pas se contenter d’attendre.
Dans le cadre d’une création d’activité, où les processus ne sont pas encore bien établis, la proactivité est essentielle. Dans certains environnements encore jeunes sur la question de la cybersécurité, comme le secteur du luxe ou d’autres similaires, il est crucial de prendre des initiatives pour obtenir les résultats souhaités. Sinon, rien ne se passera.”
Cette quête du profil idéal peut sembler fastidieuse, mais elle est vitale. Un mauvais recrutement en SSI peut avoir des impacts très néfastes sur l’activité d’une entreprise.
Les dangers d’une mauvaise gestion de la SSI
C’est l’une des plus grandes craintes des RSSI : le shadow IT. C’est le risque lorsque le niveau de SSI n’est pas respecté. Mais qu’est-ce que le shadow IT ? Ce sont les solutions de systèmes d’information réalisées et mises en œuvre au sein d’organisations sans approbation de la direction des systèmes d’information.
Un RSSI témoigne : “Le shadow IT, c’est une vraie problématique pour le RSSI. Ça peut aussi bien venir de certains services qui veulent tout faire de leur côté sans nous informer, que de la DSI lors de l’installation du système, qui n’a pas tenu un cahier des charges régulier.”
Un autre risque, et non des moindres, est de se retrouver avec une personne n’ayant pas les compétences en SSI. Cette situation est essentiellement due à une erreur de recrutement. Certaines tendances font que ces erreurs de casting sont assez fréquentes, comme le révèle une RSSI ayant travaillé pour des grands groupes de luxe :
“En ce moment, plusieurs RSSI remarquent qu’il y a beaucoup de personnes qui se lancent dans la SSI pour diverses raisons. Du coup, on se retrouve avec des gens qui disent : ‘Moi, j’ai fait ci, j’ai fait ça’, mais en réalité, non. C’était quelqu’un d’autre qui l’a fait. Donc, on peut aussi se retrouver avec des profils qui n’ont pas les qualifications requises. Il faut savoir reconnaître le vrai du faux. On reçoit des CV édulcorés.”
Outre ces profils non qualifiés, le recruteur en cybersécurité peut également tomber sur des profils pas forcément adaptés à certaines structures. “Il y a des consultants qui ont beaucoup d’expérience sur le papier, mais qui ne savent pas s’adapter. Ils font tout de manière mécanique. Ils sont incapables de fonctionner sans filet, par exemple dans une réunion où vous vous retrouvez face à un éditeur, et où il faut poser des questions parce que vous n’avez ni schéma d’architecture ni documents techniques.”
Ces éléments mettent en exergue les difficultés auxquelles peuvent être confrontés les RSSI désirant recruter pour leur équipe. Mais alors comment éviter une telle situation ?
Les cabinets de chasseurs de tête, une solution incontournable
Comme mentionné précédemment, le recrutement en cybersécurité n’est pas une tâche aisée. Il n’y a pas de contrainte imputable uniquement au domaine. Les professionnels du recrutement partagent le même avis que la plupart des RSSI. C’est le cas pour Nancy Bedague, consultante IT pour Kalyptus : “Recruter en cybersécurité est loin d’être simple. Il y a un manque flagrant de talents qualifiés. Avec des normes comme l’ISO 27001, le RGPD, ou encore la NIS, ça devient vite compliqué. Les entreprises veulent des personnes qui maîtrisent à la fois la technique et la conformité, mais ces profils sont rares.”
Et si la solution passait par une aide extérieure ? Un RSSI confie avoir recours à des cabinets de chasseurs de tête, lui-même ayant été chassé lors de son arrivée dans l’entreprise. “J’ai de bonnes expériences. Cela étant, ce qui est toujours un peu délicat, c’est de convaincre les services RH d’avoir recours à des chasseurs de tête. Pour moi, c’est plus simple, ayant été moi-même chassé, je peux y avoir recours.”
Y a-t-il de véritables avantages à passer par un cabinet de chasseurs de tête ? La consultante pour Kalyptus nous éclaire sur l’intérêt de passer par un cabinet : “Recruter par l’intermédiaire d’un cabinet permet de gagner un temps précieux. Chez Kalyptus, nous prenons en charge l’ensemble du processus : de la recherche des profils à la présélection, en passant par les tests d’évaluation. Grâce à notre expertise, nous identifions les meilleurs candidats, y compris ceux qui ne sont pas en recherche active. Nous avons un œil aiguisé pour évaluer les compétences techniques et les certifications comme l’ISO 27001 ou la conformité RGPD.
De plus, nous conseillons nos clients sur les salaires, les tendances du marché et les stratégies pour attirer les talents les plus qualifiés. Pour un poste sensible comme celui de RSSI, nous savons faire preuve de la plus grande discrétion, ce qui est essentiel dans ce type de recrutement.
Enfin, nous offrons une garantie : si le candidat sélectionné ne correspond pas à vos attentes, nous nous engageons à vous trouver rapidement un remplaçant. En résumé, notre service est la solution idéale pour recruter en toute sérénité.”
Le recrutement en cybersécurité représente un défi majeur pour les entreprises, confrontées à une pénurie de talents qualifiés et à des enjeux croissants de sécurité. Cependant, trouver les bons profils, capables de conjuguer compétences techniques et qualités humaines, reste une tâche complexe, susceptible de déboucher sur des erreurs de casting et du shadow IT. Dans ce contexte, faire appel à un cabinet de recrutement spécialisé s’avère une solution efficace. Ces experts permettent de gagner du temps, d’assurer une sélection rigoureuse des candidats, et de garantir une adéquation parfaite entre les besoins de l’entreprise et les compétences des recrues.
Clément Fradique
S’il y a bien quelque chose qui n’a pas de prix, c’est la santé. Pour une entreprise, c’est pareil. C’est pourquoi les métiers de la cybersécurité sont en pleine croissance et de plus en plus demandés dans les entreprises. La raison est la multiplication des attaques sur les systèmes d’information ainsi que l’augmentation de la complexité des SI. En conséquence, il est nécessaire de renforcer la sécurité de ces derniers. Cependant, pour atteindre un bon niveau de cybersécurité, il est essentiel de s’entourer des meilleurs talents. Mais cette quête est parsemée d’embûches. Il y a une pénurie de talents en IT, ce qui entraîne des difficultés pour les entreprises, notamment dans le recrutement. L’objectif de cet article est de mettre en évidence les enjeux et les défis du recrutement en cybersécurité.
Les enjeux de la cybersécurité
Le domaine de la cybersécurité a connu une énorme croissance ces dernières années. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les cyberattaques ont augmenté de 400 % depuis 2020, représentant un impact de 2 milliards d’euros en 2022. En 2021, la cybersécurité a généré 16 000 emplois. Ces chiffres montrent clairement que le domaine de la cybersécurité est en constante évolution. Rien que pour les Jeux Olympiques, il était au cœur des préoccupations en raison de la menace d’une attaque sur certains systèmes vitaux (aéroports, gares, hôpitaux…). Le système de défense était à son paroxysme, notamment en termes de cybersécurité. Un dispositif a été mis en place pour informer les personnels du CNCS (Centre national de commandement stratégique) et de l’ANSSI sur les événements cyber qu’ils détecteraient.
“La sécurité doit être perçue comme un facilitateur du business.”
Cependant, la cybersécurité n’est pas seulement un sujet pour les services publics. Selon un sondage du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 49 % des entreprises interrogées ont été victimes d’au moins une attaque au cours de l’année écoulée. La principale cause étant la mise en place de mauvaises pratiques en termes de SSI (sécurité des systèmes d’information). Les garants de la SSI sont les RSSI, qui ont pour rôle d’assurer la sécurité et l’intégrité du système d’information et des données. La plupart des RSSI affirment que “la sécurité doit être perçue comme un facilitateur du business.” Le plus difficile étant de trouver le juste milieu entre fournir de l’aide tout en empêchant les erreurs graves.
Un RSSI d’un grand groupe immobilier, ayant souhaité garder l’anonymat, nous confie les clés pour réussir à mettre en place un bon système de sécurité :
“Ça passe beaucoup par le relationnel. Notamment dans le cadre d’une création d’activité, les équipes n’ont pas l’habitude de venir vers les RSSI, ce qui signifie qu’il est crucial qu’elles aient envie de partager leurs projets afin d’éviter le shadow IT. Il est important de comprendre les besoins du métier et d’être adaptable.
Il s’agit d’un équilibre délicat ; il faut être une main de fer dans un gant de velours, en persuadant les équipes que la sécurité est utile, sans donner l’impression que nous allons systématiquement freiner leurs projets.”
La mise en place d’un bon SSI ne peut pas se faire uniquement par l’intermédiaire du RSSI. Celui-ci doit être évidemment accompagné par un recrutement aligné avec la stratégie de l’entreprise. Mais comment recruter efficacement dans le domaine de la cybersécurité ?
Le recrutement en cybersécurité, tout un art
Recruter est assez facile de nos jours, mais bien le faire est plus complexe, notamment dans le domaine de la cybersécurité. Lorsque l’on demande aux RSSI quelles sont les qualités requises pour ce poste, l’adaptabilité et la communication reviennent assez souvent :
“On se trouve en effet à l’intersection entre des environnements très techniques et des personnes qui ne le sont pas du tout. L’enjeu est donc de jouer le rôle de traducteur entre deux domaines qui ne se comprennent pas et qui n’ont pas forcément envie de se comprendre.”
Des propos confirmés par un RSSI au sein d’une grande école de commerce :
“Dans la cybersécurité, le plus compliqué ce n’est pas la partie technique, c’est l’humain. Il faut faire comprendre à tous les utilisateurs que la solution choisie est bénéfique pour eux.” Il ajoute une mention pour les personnes avec de hautes responsabilités dans l’entreprise : “C’est d’autant plus compliqué pour des ‘VIP’. Je prends mon exemple, avec les professeurs qui n’aiment pas qu’on leur dise ce qu’il ne faut pas faire.”
Les RSSI, du fait de leur poste, ont la charge du recrutement pour leur service, ce qui n’est pas forcément une mince affaire car les bons profils ne courent pas les rues. “Les grandes difficultés de recrutement viennent du manque de ressources, dû en partie à la mobilité des profils cyber qui ne restent pas longtemps en place,” nous explique un professionnel du milieu.
Outre la communication, on demande en SSI d’être également réactif et force de proposition, notamment lorsque le cadre n’est pas bien défini :
“En SSI, il faut être proactif. Il est essentiel de chercher, de creuser, d’identifier des sujets, de proposer des pistes, et de ne pas se contenter d’attendre.
Dans le cadre d’une création d’activité, où les processus ne sont pas encore bien établis, la proactivité est essentielle. Dans certains environnements encore jeunes sur la question de la cybersécurité, comme le secteur du luxe ou d’autres similaires, il est crucial de prendre des initiatives pour obtenir les résultats souhaités. Sinon, rien ne se passera.”
Cette quête du profil idéal peut sembler fastidieuse, mais elle est vitale. Un mauvais recrutement en SSI peut avoir des impacts très néfastes sur l’activité d’une entreprise.
Les dangers d’une mauvaise gestion de la SSI
C’est l’une des plus grandes craintes des RSSI : le shadow IT. C’est le risque lorsque le niveau de SSI n’est pas respecté. Mais qu’est-ce que le shadow IT ? Ce sont les solutions de systèmes d’information réalisées et mises en œuvre au sein d’organisations sans approbation de la direction des systèmes d’information.
Un RSSI témoigne : “Le shadow IT, c’est une vraie problématique pour le RSSI. Ça peut aussi bien venir de certains services qui veulent tout faire de leur côté sans nous informer, que de la DSI lors de l’installation du système, qui n’a pas tenu un cahier des charges régulier.”
Un autre risque, et non des moindres, est de se retrouver avec une personne n’ayant pas les compétences en SSI. Cette situation est essentiellement due à une erreur de recrutement. Certaines tendances font que ces erreurs de casting sont assez fréquentes, comme le révèle une RSSI ayant travaillé pour des grands groupes de luxe :
“En ce moment, plusieurs RSSI remarquent qu’il y a beaucoup de personnes qui se lancent dans la SSI pour diverses raisons. Du coup, on se retrouve avec des gens qui disent : ‘Moi, j’ai fait ci, j’ai fait ça’, mais en réalité, non. C’était quelqu’un d’autre qui l’a fait. Donc, on peut aussi se retrouver avec des profils qui n’ont pas les qualifications requises. Il faut savoir reconnaître le vrai du faux. On reçoit des CV édulcorés.”
Outre ces profils non qualifiés, le recruteur en cybersécurité peut également tomber sur des profils pas forcément adaptés à certaines structures. “Il y a des consultants qui ont beaucoup d’expérience sur le papier, mais qui ne savent pas s’adapter. Ils font tout de manière mécanique. Ils sont incapables de fonctionner sans filet, par exemple dans une réunion où vous vous retrouvez face à un éditeur, et où il faut poser des questions parce que vous n’avez ni schéma d’architecture ni documents techniques.”
Ces éléments mettent en exergue les difficultés auxquelles peuvent être confrontés les RSSI désirant recruter pour leur équipe. Mais alors comment éviter une telle situation ?
Les cabinets de chasseurs de tête, une solution incontournable
Comme mentionné précédemment, le recrutement en cybersécurité n’est pas une tâche aisée. Il n’y a pas de contrainte imputable uniquement au domaine. Les professionnels du recrutement partagent le même avis que la plupart des RSSI. C’est le cas pour Nancy Bedague, consultante IT pour Kalyptus : “Recruter en cybersécurité est loin d’être simple. Il y a un manque flagrant de talents qualifiés. Avec des normes comme l’ISO 27001, le RGPD, ou encore la NIS, ça devient vite compliqué. Les entreprises veulent des personnes qui maîtrisent à la fois la technique et la conformité, mais ces profils sont rares.”
Et si la solution passait par une aide extérieure ? Un RSSI confie avoir recours à des cabinets de chasseurs de tête, lui-même ayant été chassé lors de son arrivée dans l’entreprise. “J’ai de bonnes expériences. Cela étant, ce qui est toujours un peu délicat, c’est de convaincre les services RH d’avoir recours à des chasseurs de tête. Pour moi, c’est plus simple, ayant été moi-même chassé, je peux y avoir recours.”
Y a-t-il de véritables avantages à passer par un cabinet de chasseurs de tête ? La consultante pour Kalyptus nous éclaire sur l’intérêt de passer par un cabinet : “Recruter par l’intermédiaire d’un cabinet permet de gagner un temps précieux. Chez Kalyptus, nous prenons en charge l’ensemble du processus : de la recherche des profils à la présélection, en passant par les tests d’évaluation. Grâce à notre expertise, nous identifions les meilleurs candidats, y compris ceux qui ne sont pas en recherche active. Nous avons un œil aiguisé pour évaluer les compétences techniques et les certifications comme l’ISO 27001 ou la conformité RGPD.
De plus, nous conseillons nos clients sur les salaires, les tendances du marché et les stratégies pour attirer les talents les plus qualifiés. Pour un poste sensible comme celui de RSSI, nous savons faire preuve de la plus grande discrétion, ce qui est essentiel dans ce type de recrutement.
Enfin, nous offrons une garantie : si le candidat sélectionné ne correspond pas à vos attentes, nous nous engageons à vous trouver rapidement un remplaçant. En résumé, notre service est la solution idéale pour recruter en toute sérénité.”
Le recrutement en cybersécurité représente un défi majeur pour les entreprises, confrontées à une pénurie de talents qualifiés et à des enjeux croissants de sécurité. Cependant, trouver les bons profils, capables de conjuguer compétences techniques et qualités humaines, reste une tâche complexe, susceptible de déboucher sur des erreurs de casting et du shadow IT. Dans ce contexte, faire appel à un cabinet de recrutement spécialisé s’avère une solution efficace. Ces experts permettent de gagner du temps, d’assurer une sélection rigoureuse des candidats, et de garantir une adéquation parfaite entre les besoins de l’entreprise et les compétences des recrues.
Clément Fradique