[Chronique] Face au manque de ressources cyber, les entreprises se donnent-elles vraiment les moyens ?

Anne Doré revient dans sa nouvelle chronique sur le problème chronique de pénurie de compétences cyber, en appelant les organisations à changer leur vision des profils recherchés et de la gestion des compétences.

Manque de ressources cyberChez les spécialistes de la cybersécurité, et plus largement dans les organisations du monde entier, le manque de talents en cybersécurité fait l’objet de toutes les préoccupations, que ce soit celles des Etats ou des entreprises. Les chiffres sont d’ailleurs là, 15 000 postes à pourvoir actuellement en France, 25 000 d’ici 2025 et au niveau mondial, la pénurie est estimée à 3, 5 millions de personnes.

Ce manque est bien réel et force est de constater que les prestataires de service, les organisations publiques et privées qui sont devant cette incapacité à recruter, sont impactés économiquement, fragilisés et vulnérables aux attaques.

Effet d’annonces

Pour autant ces organisations se sont-elles vraiment emparées du sujet ? A la lecture des profils recherchés et des annonces associées, il est manifeste que les profils recherchés sont trop souvent identiques, voire relève du stéréotype : à savoir un profil d’ingénieur, bac +5, ayant entre 5 et 10 ans d’expérience et jeune évidemment ! 

Ces personnes sont, à juste titre, très demandées et les exigences salariales sont là pour le confirmer.

Mais face à ce manque indéniable de ressources la solution ne se trouve-t-elle pas ailleurs que dans la recherche de ce profil type ? Ne faut-il pas le remettre en cause pour élargir le champ du possible au risque (ou plutôt la chance) d’avoir d’autres profils ?

Développer la diversité des profils

Outre le fait que la cybersécurité est une filière professionnelle récente et donc en pleine structuration en termes de métier et compétences associées, il n’en demeure pas moins que la diversité des profils et des expériences demeurent un sujet délicat. Notamment seuls 11 % des emplois cyber sont occupés par des femmes en France, soit le plus petit nombre de toutes les disciplines numériques.

Comme nous l’avions déjà mentionné dans la chronique « Pourquoi la diversité doit ouvrir ses portes à la diversité », il est urgent que les employeurs recherchent et attirent d’autres types de profil.  Il est indispensable d’élargir la recherche à de personnes par exemple issues de la « neurodiversité » ou les personnes ayant des compétences transférables issues d’autres secteurs.

Pour autant ouvrir la gestion de la diversité exige en prérequis de transformer la gestion des compétences, voire trop souvent de la créer en tant que telle dans l’organisation.

Transformer la gestion des compétences cyber

Que ce soit parmi les candidats externes ou internes à l’organisation, les RH et les CISO doivent former, encourager et trouver des solutions créatives aux problèmes de compétences.

En étudiant les différents métiers cyber, on constate que chacun a ses propres exigences en matière de compétences, mais il y a un dénominateur commun important entre les nombreuses compétences générales et le « savoir-être » requis.

Les personnes ayant un simple niveau de compétence technique de base et la volonté d’apprendre, de bonnes compétences de communication et un état d’esprit créatif, sont d’excellents membres pour une équipe de cybersécurité.

Les candidats ayant une expérience différente, en dehors du monde cyber, peuvent apporter de nouvelles perspectives et des solutions différentes. Il appartient donc aux RH d’avoir une approche modulaire des compétences pour savoir celles déjà acquises et celles que les candidats doivent acquérir pour répondre aux besoins de l’organisation.

Par ailleurs, le fait de permettre aux candidats internes et externes de développer leurs compétences génère une démarche vertueuse pour le recrutement et la rétention des talents et l’organisation. Elle permet de fait de répondre aux besoins des équipes cyber mais aussi de développer sa marque employeur ainsi qu’une démarche d’entreprise apprenante.

Afin de faciliter la mise en marche d’une telle démarche, le Campus Cyber a publié et mis à disposition de tous, une matrice des « Compétences des Métiers cyber » réalisée notamment avec la contribution du Clusif et validée par l’Anssi.

La compétence avant tout !

Le fait de rechercher des profils différents ne remet évidemment pas en cause la nécessité de former et attirer beaucoup plus de profils d’ingénieurs et chercheurs.  Mais toutes les organisations doivent développer une gestion des compétences à la fois pour retenir ces profils et les accompagner dans le développement de leurs compétences, mais aussi pour attirer plus de talents en interne ou externe.

Le défi est de taille ! Les organisations ayant déjà initié de telles approches doivent passer à l’échelle et l’intégrer dans tous les processus RH. Il s’agit là d’une « révolution culturelle ». Pour celles qui s’interrogent encore ou n’ont pas lancé d’actions concrètes, il est urgent de faire bouger les lignes et suivre cette transformation de fond qui seule peut permettre de répondre à la demande insistante de renforcement des équipes cyber.

Dans tous les cas, agir en ce sens requiert une étroite collaboration entre RH et CISO. D’autant qu’au-delà des enjeux humains, il y va de la cyber résilience des organisations et de leur activité.