Cybersécurité : il est temps de revoir les stratégies de recrutement !
Les compétences en cybersécurité se font rares, c’est un fait. Il est temps de recruter différemment, estime Capgemini. Parmi les profils intéressants, les autistes…
La pénurie de talents en cybersécurité est croissante. Pour preuve, 68% des entreprises expriment un besoin de compétences en cybersécurité, contre 61% pour des capacités d’innovation, a chiffré Capgemini à l’issue de l’étude Cybersecurity Talent : The Big Gap in Cyber Protection (menée auprès de plus de 1 200 dirigeants et employés et l’analyse les avis exprimés sur les réseaux sociaux par plus de 8 000 spécialistes en cybersécurité).
«Le manque de compétences en cybersécurité a un impact sur les entreprises quel que soit leur secteur d’activité, affirme Mike Turner, Vice-President & CSO, Capgemini. Les entreprises qui mettent plusieurs mois à trouver des candidats compétents butent non seulement sur un problème d’efficacité, mais s’exposent aussi à des risques accrus de cybercriminalité. Les dirigeants doivent revoir rapidement leur stratégie de recrutement et de rétention des talents, afin de tirer le meilleur parti de leur investissement dans la transformation digitale…»
La demande de talents en cybersécurité devrait continuer de croître au cours des deux à trois prochaines années : 72% des personnes interrogées estiment qu’elle sera élevée en 2020, contre 68% aujourd’hui. Les entreprises doivent non seulement se protéger contre un nombre croissant de cyberattaques, mais aussi mieux prendre en compte la sécurité afin de transformer la digitalisation en avantage concurrentiel.
Pour combler ce déficit de compétences, Capgemini propose dans son étude quelques pistes. En partriculier élargir le spectre du recrutement en s’ouvrant par exemple aux mathématiciens, mais aussi aux personnes autistes qui «possèdent souvent des aptitudes exceptionnelles dans tout ce qui a trait au numérique et à la résolution de problèmes […] et bénéficient d’un excellent sens du détail ainsi que d’une approche méthodique du travail.»
Une fois recrutés il faut aussi fidéliser les talents en «offrant des conditions de travail flexibles, en encourageant la formation et en proposant des perspectives d’évolution professionnelle claires et accessibles». Les entreprises gagneraient aussi, selon Capgemini, à généraliser la culture de cybersécurité en dehors de l’équipe responsable de la protection des données.
Enfin, les sociétés qui ont du mal à recruter en externe peuvent rechercher ces profils parmi leurs collaborateurs et les former. La moitié des employés montreraient une appétence pour les compétences numériques et commenceraient à les développer par leurs propres moyens. Certains d’entre eux pourraient, après formation, occuper des postes dans la gestion de réseaux ou l’administration de bases de données.
Priorité n° 1 – Intégrer la sécurité à tous les niveaux de l’entreprise.
La priorité consiste à évaluer le niveau d’intégration de la sécurité à l’échelle de l’entreprise. Existe-t-il une culture de cybersécurité en dehors de l’équipe responsable de la protection des données ? Quelle importance les développeurs d’applications et les administrateurs de réseaux accordent-ils à la sécurité ? «Il est essentiel d’améliorer la cybersécurité à l’échelle de l’entreprise et de faire adopter à toutes les équipes des principes de sécurité et des processus entièrement sécurisés, explique Mike Turner. Doivent être mieux sécurisés : le développement des applications, le codage et le cloud sur lequel travaillent les architectes et les ingénieurs réseau. Intégrer la sécurité dès la conception permet de remédier efficacement à la pénurie de compétences.»
Priorité n° 2 – Maximiser les compétences existantes. «Les entreprises doivent également apprendre à identifier les compétences en cybersécurité non visibles. La moitié des employés montrent une appétence pour les compétences digitales et commencent à les développer par leurs propres moyens. Les sociétés qui ont du mal à recruter en externe peuvent ainsi rechercher ces profils parmi leurs collaborateurs et les former. Les fonctions qui impliquent des compétences en cybersécurité, transférables après formation complémentaire, sont notamment la gestion de réseaux, l’administration de bases de données et le développement d’applications.» Les entreprises doivent également intégrer la sécurité dans chacun de leurs services et applications, et faire appel à des formateurs afin de compléter les compétences techniques de leurs équipes. Certains analystes et marketers peuvent évoluer vers des fonctions de cybersécurité afin de favoriser l’adoption de bonnes pratiques à l’échelle de l’entreprise.
Priorité n° 3 – Recruter différemment. Une autre priorité consiste à adopter une stratégie de recrutement innovante et à comprendre les compétences fondamentales requises en cybersécurité. Il est important de s’intéresser à des qualités et à des capacités généralement associées à des postes complètement différents et de rencontrer des candidats que l’entreprise ne prend pas habituellement en considération. Par exemple, ceux qui travaillent dans les mathématiques possèdent souvent une très bonne capacité à identifier les séquences logiques. «Recruter différemment, c’est savoir reconnaître les compétences transférables, ajoute Mike Turner. Par exemple, les personnes autistes sont très douées en reconnaissance de schémas et possèdent souvent des aptitudes exceptionnelles dans tout ce qui a trait au numérique et à la résolution de problèmes; de plus, elles bénéficient d’un excellent sens du détail ainsi que d’une approche méthodique du travail. Toutes ces qualités sont utiles à la mise en place de bonnes pratiques en cybersécurité »
Priorité n° 4 – Fidéliser les talents. La dernière recommandation du rapport concerne la rétention des talents. Sur un marché du recrutement extrêmement concurrentiel, les entreprises doivent accorder de l’importance à l’engagement des collaborateurs pour éviter la fuite des talents. Selon l’étude, les employés spécialisés en cybersécurité préfèrent les entreprises qui offrent des conditions de travail flexibles, encouragent la formation et proposent des perspectives d’évolution professionnelle claires et accessibles. En revanche, un équilibre difficile entre vie professionnelle et vie privée fait partie des cinq aspects négatifs du métier cités par les professionnels de la cybersécurité sur les réseaux sociaux et constitue un des motifs principaux d’insatisfaction au travail et de départ de l’entreprise. La grande majorité (81%) des professionnels de la cybersécurité déclare être d’accord avec l’affirmation «Je préfère travailler dans une entreprise qui m’offre un plan de carrière bien défini», contre 62% pour l’ensemble des répondants de l’enquête.