DSI de PME, ETI ou grands groupes, vous peinez à recruter les bons experts en cybersécurité ? Vous êtes loin d’être les seuls : 62% des sociétés estiment manquer de personnel pour assurer leur sécurité informatique et 57% affirment avoir des postes vacants dans le domaine, selon une étude de l’ISACA en 2020. Avec la transformation numérique des entreprises, la généralisation du télétravail et l’augmentation des cyber-attaques, cette demande ne va cesser d’augmenter dans les prochaines années. Le nombre de postes non pourvus dans ces domaines devrait s’élever à plus de 1,8 million en 2022, selon l’International Information Systems Security Certification Consortium ((ISC)²).
Voici donc quelques conseils pour sortir du lot et recruter les meilleurs experts en informatique et cybersécurité, d’aujourd’hui et – surtout – de demain.
1. Connaître ses besoins
L’un des premiers obstacles à une bonne sécurité informatique est généralement le manque de visibilité sur ses actifs. Et partant, de ses besoins. Dans le recrutement, la logique est la même. Avant même de vous plonger bille en tête dans la rédaction d’une offre d’emploi, posez-vous ces quatre questions :
- De quelle.s compétence.s avez-vous besoin ? Recherchez-vous un.e spécialiste de la sécurité périmétrique ? Voulez-vous compléter les équipes de votre centre de sécurité des opérations (SOC) ? Etes-vous prêts à faire appel à un service de threat intelligence ? Quels langages de programmation votre future recrue devra-t-elle maîtriser ?
- Quel.s profil.s recherchez-vous ? Votre entreprise nécessite-t-elle du conseil ? Êtes-vous en manque de techniciens ? D’ingénieurs ? Aurez-vous besoin d’un.e chef.fe de projet pour telle ou telle mission ?
- Pour quelle temporalité ? S’agira-t-il d’une mission ponctuelle ? De missions régulières mais qui ne nécessitent pas un poste à plein temps en interne ? Cherchez-vous un expert qui intègre complètement l’entreprise ?
- Avec quel budget ? Parfois, les moyens ne sont pas toujours à la hauteur des besoins. Assurez-vous de savoir combien vous pouvez dédier à vos besoins en cybersécurité afin de savoir si vous allez devoir recruter des gens multi-profils ou si vous allez d’abord recruter quelqu’un pour une tâche précise puis former cette personne à d’autres compétences par la suite.
Si vous avez une réponse à toutes ces questions, vous devriez être plus au clair sur ce que vous cherchez exactement. Un ingénieur en sécurité des réseaux ne ressemble pas à un spécialiste en réponse à incident, qui n’a pas grand-chose à voir avec un penetration-tester.
2. S’impliquer le plus en amont possible dans le parcours des futures recrues
Les cyber-menaces évoluent, mais elles ne disparaîtront pas. On peut même s’avancer pour dire qu’elles augmenteront en nombre comme en complexité. Ayez donc une vision à long terme !
Allez chercher les futures recrues le plus tôt possible dans leur parcours, en proposant des stages ou des postes en alternance. Essayez de pousser votre direction à soutenir, à sponsoriser, voire à financer des cursus en informatique et en cybersécurité dans votre région, au plus près de votre entreprise.
Si vous en avez les moyens, vous pouvez même concevoir votre propre cursus, à l’image du Flagship School Program de Microsoft.
Enfin, toujours dans la logique d’aller chercher les futurs talents là où ils se trouvent, participez à des événements :
- Les salons cyber généralistes d’abord, dont le Forum international sur la cybersécurité (FIC), qui aura lieu à Lille en septembre 2021, et les Assises de la sécurité, qui se tiennent tous les automnes à Monaco, sont les deux déclinaisons nationales les plus importantes – mais il en existe de nombreux autres.
- Ceux dédiés aux recrutements dans les métiers de la cybersécurité, tel que celui qui s’est tenu le 18 mai 2021 à Lannion. Le Jobboard est accessible ici.
3. Sortez des procédures de recrutement traditionnelles
Bien sûr, publiez une ou des annonces sur vos canaux habituels. Mais, en parallèle, sortez des sentiers battus ! Cherchez des profils atypiques, notamment au sein des formations que vous soutenez par exemple. Cela vous permettra peut-être de pourvoir plusieurs postes à la fois ou d’imaginer des rôles hybrides, qui pourraient bien être de vrais atouts pour votre entreprise.
Le défi est profondément ancré dans la culture des hackers. Utilisez ce biais cognitif ! Participez, ou même organisez des concours, avec ou sans rétribution financière à gagner. Hackathons, compétitions de penetration-testing, bug bounties, concours de type Capture the Flag (CTF)… les modalités dépendent de ce que vous cherchez, mais le concours est un bon moyen d’attirer des profils atypiques, pas toujours diplômés mais très habiles et talentueux. Le BreizhCTF organisé à Rennes en Bretagne chaque année, réunissant 450 hacker toute une nuit, est une bonne occasion pour identifier des candidats mais aussi pour les motiver à rejoindre vos équipes.
HackerOne, Yogosha, YesWeHack… De plus en plus de sociétés se spécialisent dans ces techniques, en France et ailleurs.
Poursuivez aussi la logique d’aller chercher les talents où ils sont, à savoir : en ligne. Envisagez d’autres canaux de diffusions de vos annonces de recrutement. À titre d’exemple, la société britannique Duo Security, aujourd’hui filiale de Cisco, a créé un compte Instagram dédié à son recrutement. L’américaine Everbridge, elle, alimente un blog consacré à son recrutement en cyber. Pour des entreprises dont le cœur de métier est hors de la cyber-sphère, il faut peut-être proposer du contenu plus large, dans un blog dédié aux conseils en sécurité, par exemple. Les entreprises sont généralement très discrètes sur le sujet, mais n’est-il pas venu le temps de s’ouvrir un peu ?
4. Formez en interne
L’herbe n’est pas toujours plus verte ailleurs. Votre entreprise compte peut-être un.e technicien.ne réseau fan de Mr Robot ou codeur.se à ses heures perdues et désireux.se de changer de carrière mais n’osant pas franchir le cap. Avant de recruter, regardez si vous ne pourriez pas faire profiter à un.e de vos employés d’une formation en cybersécurité. À titre d’exemple, l’ANSSI est impliquée dans divers programmes de formation, dont certains donnent lieu à la délivrance d’un titre d’Expert en sécurité des systèmes d’information. Les universités et les écoles de Bretagne offrent des programmes de tous niveaux, de l’initiation à la validation d’expérience de niveau master ou ingénieur par exemple.
5. Intégrez vos recrues dans une stratégie d’entreprise
Une fois que vous avez recruté les experts dont vous avez besoin, n’oubliez pas que la forte demande pour leurs profils ne cesse de croître ; ils risquent d’être contactés par nombre de concurrents et pourraient même être tentés d’aller proposer leurs services dans d’autres secteurs. Impliquez-les donc dans les projets à long terme de votre entreprise. Que ce soit un plan de transformation numérique, l’implantation d’appareils connectés industriels (IIoT) ou d’une expérimentation de la 5G, vous aurez besoin de spécialistes de la sécurité des systèmes d’information, alors incluez-les dans la boucle.
Avec la généralisation du télétravail, forcée par la pandémie de Covid-19 mais qui pourrait esquisser une organisation du travail bien différente sur le long terme, nul doute qu’ils sauront être précieux.
6. Offrez les conditions idéales
Enfin, parce que cela va mieux en le disant, pour garder vos talents, vous devrez leur offrir les conditions de travail nécessaires pour les retenir. Cela comprend bien sûr quelques fondamentaux, comme un salaire attrayant – au moins autant que ce qu‘ils pourraient percevoir dans des secteurs comme les jeux vidéo ou la robotique, où leurs compétences sont prisées – et une perspective d’évolution au sein de l’organigramme de l’entreprise.
Offrez-leur la possibilité de participer régulièrement à des conférences de référence dans leur domaine (BlackHat, Defcon, SSTIC), de travailler sur un sujet complètement libre dans leur semaine de travail. Ces conditions renforcent l’implication et l’attachement du profil à la structure.
Vous pouvez aussi mettre en avant le terreau fertile en termes de cybersécurité auquel appartient votre entreprise, à savoir la Bretagne. Impliquez votre entreprise dans le riche vivier cyber de la région, qui accueille de nombreuses structures étatiques mais aussi des grands groupes, des PME, des startups et bientôt une annexe du Cyber Campus. Cet environnement est une source d’émulation pour vos talents, qui pourront s’appuyer sur un réseau d’expertise et des échanges entre pairs.
Enfin, vous seriez bien avisés de les intégrer dans le processus de recrutement de leurs futurs collègues, par exemple en leur confiant la gestion du blog ou du compte dédié évoqué précédemment.