Cybersécurité : 5 conseils pour pallier la pénurie de compétences
Malgré les efforts déployés par le secteur pour attirer de nouveaux talents, la pénurie de compétences n’est pas près de se résorber. D’après un rapport ISC2 intitulé « Cybersecurity Workforce Study », la cybersécurité a rallié plus de 460 000 nouvelles recrues au cours des 12 derniers mois. Mais ce n’est encore qu’une goutte d’eau dans l’océan, puisque la hausse des postes à pourvoir a, dans le même temps, atteint plus du double de ces embauches1.
Selon les différents rapports d’étude qui se penchent sur la question, cette carence mondiale se chiffre à 3,4 ou 3,5 millions d’emplois vacants2. Mais la cybersécurité n’est pas le seul secteur touché. Dans la santé par exemple, plus de 10 millions de médecins manquent à l’appel à travers le monde3. La pénurie de compétences entraîne à son tour d’autres problèmes, notamment en termes de rétention des collaborateurs. Selon ISACA, 60 % des entreprises peinent à réduire le turnover, tandis que 62 % disent souffrir d’un déficit de talents au sein de leurs équipes4.
Pour la cybersécurité en revanche, les perspectives s’avèrent plus prometteuses, car nous disposons de leviers pour réduire l’impact de cette pénurie, tant collectivement qu’au niveau de chaque entreprise.
Découvrez ci-dessous cinq conseils à mettre en pratique.
1. Adopter une approche mixte du recrutement
Pour moi, rien ne vaut la méthode d’embauche traditionnelle qui consiste à sélectionner les candidats satisfaisant aux critères de formation, de qualification et d’expérience. Mais de nos jours, trouver ce type de candidat relève du miracle ou du facteur chance.
Si nous voulons réellement résorber la pénurie de talents, il nous faut explorer de nouvelles pistes. Car la cybersécurité peut convenir à des profils aussi multiples que variés : technophiles, esprits curieux, adeptes de casse-têtes… Bref, tout enthousiaste qui aime explorer les usages possibles d’un système avant de trouver le moyen de le sécuriser, de manière aussi efficace que transparente.
C’est pourquoi notre champ de recherche doit s’élargir et ne plus se limiter aux candidats provenant des parcours de formation traditionnels. Ce qui importe vraiment, c’est que ces nouveaux profils démontrent une capacité d’exécution, un fort esprit d’équipe et un sens aigu de l’éthique. La cybersécurité fournit des armes pour faire le bien, mais aussi le mal. D’où l’importance de trier les nouveaux talents sur le volet, de tester leur intégrité morale et de leur communiquer clairement les limites à ne pas franchir.
2. S’ouvrir à la diversité
Le concept de diversité est sur toutes les lèvres et en cybersécurité, il s’associe le plus souvent à des questions de genre. Certes, le secteur ne compte pas suffisamment de femmes dans ses rangs, mais la notion de diversité va bien au-delà de l’identité sexuée.
Divers aspects sont concernés : l’origine d’un individu, sa culture, son âge, sa religion et son appartenance ethnique. Avant de recruter une personne, savez-vous par exemple ce qu’elle apportera à l’équipe en termes de valeurs personnelles et culturelles ? Ses différences permettront-elles de générer de nouvelles idées et perspectives ? Où trouver ce genre de profils et comment s’assurer de la qualité de leur formation, en particulier ceux qui ne viennent pas du sérail ?
3. Mettre l’accent sur le mentorat
Le mentorat est un concept encore nouveau en cybersécurité, mais les programmes déjà mis sur pied permettent d’identifier des personnes au fort potentiel pour la filière en termes de compétences, de tempérament et d’éthique. Les associations professionnelles et les divers établissements d’enseignement supérieur peuvent d’ailleurs servir de relais entre les entreprises et les potentielles recrues.
Le mentorat ne se limite pas au recrutement de nouveaux talents, mais joue aussi un rôle majeur dans leur formation, leur développement et leur fidélisation. En tant que CTO de terrain, j’ai toujours pris soin d’attribuer un mentor aux nouveaux membres de mon équipe et de définir avec eux une trajectoire professionnelle claire, avec des objectifs et des jalons spécifiques. Il est important que ces nouveaux collaborateurs comprennent qu’ils ne vont pas passer leur temps à traiter des alertes et à effectuer des tâches répétitives et monotones. Cet investissement préliminaire dans les nouveaux talents permet de renforcer son capital social et de créer des liens professionnels durables.
4. Faire preuve de leadership et instaurer une culture d’entreprise
Dans un certain sens, la cybersécurité évoque le Nouveau Monde. Apparue il y a à peine 40 ans, cette discipline reste relativement jeune par rapport à des fonctions d’entreprise établies depuis plusieurs décennies, voire plusieurs siècles. On ne s’étonnera donc pas du fait que certains membres de la direction ne possèdent pas toujours le bagage technique ni l’expérience des missions cyber de terrain.
Ce qui importe, c’est que ces derniers aient les compétences techniques et managériales nécessaires pour définir les orientations de l’équipe et accompagner chaque membre vers les objectifs fixés. Il ne s’agit pas d’être un expert en cybersécurité, mais de démontrer des capacités de compréhension et de lecture des situations qui permettent de communiquer en bonne intelligence avec les experts. J’ai pris part à des panels de sélection dans lesquels les recruteurs en savaient moins sur un domaine donné que les candidats eux-mêmes.
5. Exploiter l’outil technologique
Pour combler la pénurie de compétences, les technologies constituent un levier majeur. Mais elles offrent également des perspectives sans précédent pour notre secteur. Automatisation, machine learning, intelligence artificielle (IA)… toutes ces nouvelles technologies interviennent en complément et en renfort de l’humain.
La solution à la pénurie de compétences ne réside pas dans le remplacement de l’humain par des machines, mais plutôt dans un usage de l’IA qui recentre les équipes sur des tâches plus stratégiques, plus complexes et plus créatives. Notre secteur n’en deviendra que plus attractif et les collaborateurs plus épanouis si leur travail satisfait leur quête de sens. Les technologies ont donc un rôle essentiel à jouer dans l’attractivité des métiers de la cybersécurité et la fidélisation de ses talents.
En résumé
Pour renforcer l’attrait de notre secteur et de nos entreprises, la pénurie de talents doit être appréhendée de manière holistique.
Autrement dit, l’heure est venue d’élargir ses horizons et de rechercher des profils moins conventionnels, mais dont les compétences, la personnalité et l’intégrité répondent aux critères exigés dans le monde de la cybersécurité. Côté recrues, des efforts seront nécessaires pour acquérir les connaissances et les compétences à maîtriser dans le cadre de leurs missions.
Côté employeurs, l’enjeu consiste à attirer des personnes de milieux divers et à pourvoir l’ensemble des collaborateurs des outils, des formations et de l’accompagnement indispensables à leur satisfaction et à leur développement.
À cette fin, l’automatisation et le tandem IA/ML vont jouer un rôle prédominant, entre autres leviers technologiques. L’autre facteur essentiel est un leadership fort, décliné en diverses formes que sont la communication, la culture d’entreprise, les programmes de mentorat et autres outils managériaux. J’ai toujours eu pour principe de recruter sur la base de l’attitude, de former pour plus de compétences et d’accompagner pour plus de performance.
Il faudra du temps avant que la pénurie de compétences ne soit entièrement résorbée. Mais rappelez-vous qu’un bon talent cyber ne contribue pas seulement à réduire le risque. C’est aussi un acteur clé de l’innovation de votre entreprise.
- « Cybersecurity Workforce Study », ISC2, 20 octobre 2022.
- « Cybersecurity Workforce Study », ISC2, 20 octobre 2022.
- « Why is there a global medical recruitment and retention crisis? », Forum économique mondial, 9 janvier 2023.
- « State of Cybersecurity 2022 Report », ISACA, 23 mars 2022.