[Chronique] Entretien annuel : comment bien évaluer un expert cybersécurité ?

Notre chroniqueur Michel Juvin revient sur la délicate évaluation pour l’entreprise de ses experts cyber. Avec quel prisme et indicateurs peut-on réellement juger objectivement de l’efficacité d’un spécialiste de la cybersécurité aujourd’hui ? Une question clé à l’heure où se préparent les sempiternels entretiens annuels.

Evaluation cybersécuritéNous avons tous un processus d’évaluation de notre performance qui s’appuie sur des pratiques similaires pour d’autres postes de l’entreprise, souvent dictées par les RH de l’entreprise. Des formulaires standards ou des applications sont mises à disposition des managers pour effectuer ces évaluations suivant une périodicité prédéfinie et permettent de valoriser les actions effectuées des employés. Un bonus, une augmentation de salaire et une progression de carrière sont souvent associés à la performance du collaborateur ; ce qui rend cette étape dans le parcours professionnel particulièrement importante.

Cependant, on constate régulièrement des frustrations lors de cette étape autant de la part de l’employé que du manager. Il est évident que l’évaluation de la performance d’un Expert Cybersécurité est plus compliquée que pour un employé au sein d’une équipe de production par exemple. Au travers des techniques d’évaluation et des feedbacks de mon expérience professionnelle et celle de mes pairs, je vous propose quelques bonnes pratiques pour préparer votre entretien qui a souvent lieu en début d’année fiscale.

1.     Les techniques d’évaluation

Il existe plusieurs méthodes d’évaluation de la performance d’un collaborateur qui s’articulent autour : 1) d’un formulaire avec des objectifs (généralement de 3 à 6) fixés en début de période, 2) d’un pourcentage de réalisation de l’objectif et, 3) de commentaires ; ceux du manager et ceux de l’employé. Le formulaire a aussi pour objectif de définir des formations souhaitées et potentiellement une orientation dans l’entreprise… ou en dehors !

L’une des difficultés est de définir les objectifs :

  • soit ils sont trop précis et leur rigidité fait que le collaborateur réalise seulement son objectif et rien d’autre, dans le but de réussir le 100%,
  • soit, ils sont vagues et le manager doit faire preuve de plus de subjectivité et de bienveillance pour faire l’évaluation.

Cependant, il est couramment admis que les objectifs doivent être mesurables afin de définir le pourcentage de réalisation qui sera consigné dans le formulaire. L’une des méthodes régulièrement utilisée est que chaque objectif doit être SMART (Spécifique, Mesurable, Atteignable, Réaliste et Temporellement défini).

Nous allons voir que dans le cadre des objectifs relatifs à la Cybersécurité, les indicateurs mesurables, atteignables et réalistes sont les plus difficiles à définir. Il est dans ce cadre intéressant de comparer la perspective que peuvent avoir les managers sur l’évaluation, de celles des experts cyber eux-mêmes.

2.     L’analyse de la performance vue des managers

Les managers sont confrontés à une revue des objectifs tels qu’ils ont été définis – souvent une année avant – et dans un contexte qui varie souvent tout au long de l’année. Comme le dit l’un de mes pairs, dans notre métier, « l’inattendu est au coin de la rue ».

Au-delà d’une valeur binaire, l’évaluation va consister à donner un pourcentage d’achèvement de l’objectif. Mais cette estimation est compliquée à faire de manière quantitative et souvent, c’est une valeur plus approximative et qualitative qui est reportée sur le formulaire. En effet, si on parle du déploiement d’un logiciel sur toutes les machines du parc de l’entreprise, les 100% ne sont pas facilement voire jamais atteints. Il y a malheureusement des exceptions ou des problèmes qui nécessitent un effort plus conséquent et cette dernière partie va prendre plus de temps. Sachant que justement, le temps pour le pourcentage restant n’est plus aussi prioritaire et qu’il est probable que les équipes ou personnes en charge de la réalisation vont alors être affectées à d’autres tâches plus urgentes.

Certains formulaires comportent des objectifs pondérés ce qui permet de calculer directement le pourcentage global d’appréciation. D’autres formulaires associent des budgets pour chaque objectif ainsi que des objectifs de consommation du budget alloué pendant la période. De fait, une pondération globale pour la réalisation de chaque objectif est alors calculée et vient souvent déduire le pourcentage de réalisation de l’objectif.

Certains managers rencontrent des difficultés à évaluer les experts car ils n’ont pas conscience de ce qu’on attend d’un expert. C’est le cas des experts réseaux, télécom, ou administrateurs Windows par exemple. Les experts cyber font partie de ces personnes pour lesquelles en début d’année, le manager comme l’expert sont souvent optimistes. Le constat en fin de période est alors plus compliqué. La réalisation de l’objectif est liée à la disponibilité de ressources de l’IT voire d’externes dont les compétences techniques dépendent du prix de la prestation.

D’ailleurs d’une manière générale, les processus d’évaluation des RH sous-tendent une évolution de carrière commune vers le management. C’est dans certains cas pour les experts techniques une erreur car les aptitudes managériales (ouverture aux autres, empathie, écoute et faire progresser une équipe) ne sont pas toujours compatibles avec une carrière d’expert technique qui est plus concentrée sur la recherche et la veille technologique.

L’expert cyber, qui est aussi un technicien, doit conserver entre 15 et 30% de son temps pour faire de la veille technologique. Participer à des séminaires lui permettra de partager et recevoir l’expérience de ses pairs et étudier des innovations technologiques ou des services auprès de fournisseurs qui pourraient répondre à une menace grandissante pour l’entreprise.

Parmi ses attributions et dans le contexte d’ajout de nouvelles applications et fonctionnalités pour l’entreprise, il doit aussi vérifier la conformité des nouvelles solutions de type SaaS à la politique de cybersécurité. Ce rôle de conseil se traduit par une analyse de risques que comporte la nouvelle solution. Ces choix de nouvelles fonctionnalités de la part des métiers n’est pas forcément prévu dans la définition des objectifs initiaux et peut entraîner de nouveaux projets à mettre en place ou lancer dans le courant de l’année. Cette action est aussi chronophage s’elle n’est pas encadré par une solution logicielle pour tous les partenaires et applications connexes à l’entreprise[1].

On constate que les objectifs sont parfois budgétés financièrement, dans le meilleur des cas, des ressources humaines sont identifiées, mais rarement l’autorité est attribuée à l’expert Ccyber pour mener à son terme le projet et la réalisation de l’objectif. De fait, l’objectif est donc difficile à atteindre.

3.     Le même processus vu des experts cybersécurité

La définition des objectifs annuels

Notre objectif principal est la diminution des risques et de la probabilité d’occurrence. Mesurer la réalisation de ces deux objectifs est difficilement mesurable.

De notre point de vue, on constate que les objectifs fixés en début de période ne sont plus appropriés car le contexte évolue fortement, certains objectifs ont été reportés en cours de l’année voire l’année suivante, et d’autres ont été ajoutés, voire remplacés. De manière surprenante, de nombreux experts ont pu voir un plan d’actions initialement définis sur 2 ans et difficile à mettre en place, se réaliser finalement en quelques mois suite à une cyber-attaque !

La définition des ressources (humaines et budgétaires) pour les objectifs à réaliser

Coté budget, dans le plus mauvais des cas, comme celui d’une cyber-attaque, le budget consommé par l’entreprise dans la réponse à incident est principalement celui de la cybersécurité s’il n’est pas isolé comptablement. De plus, l’impact d’une telle perturbation dans les autres projets des équipes Cyber est compliqué à réestimer au niveau des ressources ; parfois il faut remotiver les collaborateurs pour relancer l’initiative ; voire recommencer certaines phases du projet entrainant un surcoût budgétaire.

Notre rôle est aussi de lancer des projets de guider les équipes IT opérationnelles (ou des externes) pour réaliser les étapes du projet de développement de la sécurité de l’information. L’avancement du projet peut être alors chaotique n’ayant que rarement l’autorité pour concentrer ces équipes dépendantes d’autres directions.

Dans certaines équipes (y compris dans l’équipe Cyber) il peut y avoir des démissions (ou changements de poste) entraînant des délais plus importants de réalisation des projets.

Contrairement à d’autres projets IT, ceux de la cybersécurité n’ont pas forcément de date de fin et nous n’avons pas beaucoup de pression du management pour terminer à 100% les projets[2]. Et bien souvent la motivation manque aux équipes IT (qui sont généralement à la réalisation des projets) pour clore lesdits projets.

L’évaluation

Par ailleurs, on peut tout à fait réaliser correctement ses objectifs et malheureusement, l’entreprise peut être frappée par une cyber-attaque. Ce n’est pas pour autant que l’expert cybersécurité aura été mauvais ! L’évaluation ne devra alors retenir que la performance dans la préparation à la gestion de crise et la réponse à incident… en réussissant à faire la part des choses, car il ne sera pas le seul aux commandes de l’équipe de gestion de crise.

Je me souviens d’une réunion d’avancement avec mon chef alors que je lui demandais si je serais viré si l’entreprise était attaquée. Il m’a répondu : « Si tu m’as prévenu du risque et que je ne t’ai pas donné les ressources et l’autorité pour diminuer le risque, alors tu ne seras pas responsable ».

Les expertes cybersécurité

Dans le domaine de la Cybersécurité, certaines de mes pairs sont des femmes. En évitant les généralités, on peut constater que leur qualité d’empathie et leur talent de négociatrice leur permet de mieux réussir dans la motivation des équipes qui composent leur projet.

Dans certains cas, elles ont le sentiment d’illégitimité (non justifiée) dans leur fonction et me disent que cela leur demande d’être plus rigoureuses (nécessité de prouver) ; ainsi elles préfèrent vérifier 4 fois la bonne réalisation des objectifs ; ce qui ne semble pas être une préoccupation aussi présente chez les collègues masculins qui se permettent de prendre plus de risques à ce niveau.

Dans ce monde fortement masculin, le fait d’être une femme est un atout pour elles, ainsi que pour les équipes cyber et IT. Mais globalement, mes consœurs m’indiquent ne pas avoir vécu de différences par rapport à un homme lors de leur évaluation. Cependant, comme les médias l’ont relevé le 3 novembre 2022[3], les femmes ont travaillé « gratuitement » jusqu’à la fin de l’année. Dans la cybersécurité, l’écart de salaire est tout aussi injuste ; comme on peut le constater pour des experts cybersécurité d’expérience proche et dans des entreprises similaires.

On comprend aisément que l’évaluation est donc aussi liée à la bienveillance du manager (qu’il soit masculin ou féminin) et, à la régularité des échanges pour informer et recadrer en cas de changement important dans les objectifs en cours d’année.

4.     Quelques bonnes pratiques lors de l’évaluation

Il faut maintenir la communication avec son manager au long de l’année et surtout en cas de changement important de ressources ou suite à une cyber-attaque. Il ne faut pas sous-estimer l’importance d’associer les ressources (budget et humains) et l’autorité lors de la définition des objectifs. Il faut aussi faire l’exercice de définir la valeur ou le pourcentage de réalisation de l’objectif, cela évite les ambiguïtés lors de la réunion annuelle[4].

La bienveillance du manager, l’ouverture à la discussion, sont des qualités importantes pour que l’évaluation soit objective et retrace la performance de l’expert cyber. L’enjeu de l’augmentation et du bonus de fin d’année sont soumis à une bonne évaluation.

En cas de frustration comme ce pourrait être le cas en cette période de tension sur les ressources expertes en cybersécurité, plusieurs de mes pairs souhaitent pouvoir mieux valoriser leur performance (et leurs responsabilités, qui sont aussi une source de stress) en changeant d’entreprise. Le manager devra comprendre ce contexte actuel de carence d’experts cyber et savoir proposer une augmentation de salaire conséquente pour conserver l’expérience acquise de la personne dans l’entreprise. Le temps d’adaptation d’un nouvel embauché dans la fonction est tributaire de son expérience ; une année entière peut être nécessaire pour une parfaite efficacité de l’employé s’il est peu expérimenté.

Enfin, l’évaluation annuelle est aussi la possibilité de définir les formations officielles et obtenir des certifications. Il n’est pas impossible que certaines certifications soient fortement appréciées, notamment pour répondre à une condition apparaissant dans les clauses des cyber-assurances. N’oublions pas que notre intérêt n’est pas de servir ce lobbying, mais bien de prévoir les formations adaptées à notre carrière que l’on se doit de définir avant l’entretien.

Et pour finir, je renvoie en la matière à ma dernière chronique, il faut éviter d’accepter une délégation de responsabilité de manière à éviter d’être pénalement responsable.

 

[1] L’entreprise CyberVadis est par exemple connue pour proposer une solution efficace pour gérer le risque des fournisseurs de manière homogène

[2] Le métier vous rappelle que cela marchait avant, donc pourquoi se hâter dans la réalisation d’un projet Cyber !

[3] https://www.francetvinfo.fr/economie/emploi/carriere/vie-professionnelle/emploi-des-femmes/inegalite-salariale-un-ecart-de-16-5-en-2021-entre-les-femmes-et-les-hommes_4831647.html

[4] Exemple : si j’atteins 100% des utilisateurs pour une formation et que 50% ont effectivement participé, quelle sera le pourcentage de réalisation de l’objectif ?