Face à la pénurie de compétences disponibles en cybersécurité et une demande qui explose, les entreprises de toutes tailles qui veulent recruter doivent s’adapter et préparer l’avenir.
A lire aussi : Le Code du Travail est fait pour la civilisation de l’usine, pas pour celle du numérique
Selon une récente étude de l’APEC menée avec le Pôle d’Excellence Cyber (PEC), le volume des offres d’emploi cadre exigeant des compétences dans le champ de la cybersécurité a quasiment doublé entre 2017 et 2021, passant de 3 650 à 7 000 offres. Or, en face, la pénurie de compétences est largement documentée, même si les estimations sur sa dimension exactes varient : sur Vivatech, les porte-paroles de Microsoft estimait dernièrement le manque à 15 000 experts cyber en France, alors que le capitaine de frégate Nicolas Malbec, membre du ComCyber, parlait lui d’une fourchette de 20 000 à 30 000 profils en début d’année. En parallèle, les annonces sur les formations se multiplient, mais les cursus actuels peinent pour autant à se remplir ; ce qui renvoie la balle un peu plus loin dans la chaine, avec l’idée de sensibiliser au plus tôt les jeunes – et en particulier les jeunes filles – à ces carrières et ces débouchés. Les initiatives actuelles parviendront peut-être à soulager le marché, mais ce sera dans le meilleur des cas au cours de la prochaine décennie.
Comment les grandes entreprises se rendent attractives
Les entreprises elles, ont besoin des compétences tout de suite, alors que les directions générales se mobilisent enfin et que l’augmentation de la menace n’en finit pas d’alimenter les conférences et les tables rondes. Dans les allées du dernier Forum International de la Cybersécurité (FIC), qui a réuni 14 000 participants début juin à Lille, les stickers « On recrute ! » parsèment d’ailleurs les stands des start-up spécialistes de la cyber, comme ceux des grandes entreprises venues spécialement pour l’occasion.
Ainsi, EDF ne cache pas que sa présence bien visible au milieu de cet évènement de référence n’a qu’un but : se montrer et séduire, pour recruter. « Au sein du Groupe EDF, nous avons fait le choix l’année dernière d’une re-internalisation et d’un renforcement des équipes opérationnelles en sécurité des systèmes d’information. EDF est qualifié PDIS par l’Agence nationale de la sécurité des systèmes d’information et le SOC « généraliste » est quasiment totalement réinternalisé. » explique Olivier Ligneul, le directeur cybersécurité du groupe, en marge de l’évènement. Derrière cette évolution stratégique, l’énergéticien français doit donc veiller à se rendre attractif, car il n’est pas évident de prime abord pour un jeune talent de la cyber de se dire que c’est dans une entreprise traditionnelle qu’il pourra faire le parcours le plus intéressant.
C’est pour cette raison par exemple, qu’EDF a participé au Cyber Apocalypse CTF 2022: Intergalactic Chase organisé par Hack the box il y a quelques semaines, qui a mis en compétition plusieurs milliers de professionnels de la cybersécurité au niveau mondial. Cette compétition dites de « Capture the flag (CTF) », consiste à relever une soixantaines de challenges de « hack » de plus en plus complexe pendant sept jours non-stop : les équipes s’y affrontent 24h/24, week-end compris, pour montrer leur maîtrise et tester leurs limites. A la clé, plutôt que les 20 000 dollars de prix, c’est le prestige et la génération d’intérêt qui découle d’un bon classement qui intéresse une entreprise comme EDF. Son équipe « EDFunit61000 » a terminé à la 55e place sur près de 3700 équipes, devant certaines sociétés spécialisées dont la cyber est le cœur business. De quoi prouver que le sujet est pris au sérieux par l’industriel, tout en laissant entrevoir que l’entreprise est ouverte à cette partie « fun » et moins « corporate » de l’écosystème.
Jouer sur sa différence et sur les plateformes de recrutement spécialisées
Nous avons un plan de montée en puissance sur les trois ans à venir et il nous faudra engager une dizaine de personnes de plus, sur des profils très différents, qui vont des analystes CERT de niveau un et deux, à des gestionnaires d’incidents, ou encore un chef de projet cyber. Nous avons publié depuis plus de deux mois les fiches de poste, en voulant nous appuyer sur nos réseaux, mais ce n’est clairement pas suffisant. C’est pourquoi nous avons montré que nous recrutons sur le FIC et que nous nous sommes rapprochés de la plateforme Cyberjobs » explique-t-il. Cette plateforme normande, qui vient de lever 900 000 euros, a été créée en 2020, avec une promesse pour les candidats : « Trouvez l’emploi en cybersécurité qui vous correspond ». Elle met pour l’heure en contact 130 entreprises inscrites avec une base de 10 000 candidats.
A lire aussi : LinkedOut : le recrutement inclusif à l’épreuve de la réalité
Pour attirer, le CERT-Maritime joue par ailleurs la carte de la différence, mettant en avant les photos du cadre de vie brestois, avec un slogan « Mettez du sel dans votre cyber », associé à une promesse d’accompagner les jeunes, y compris des profils atypiques, sans expérience, à condition qu’ils aient envie d’apprendre. « Je viens de la Marine Nationale et nous avons une tradition de compagnonnage dans les équipages, pour bien intégrer les nouveaux venus. Notre priorité aujourd’hui c’est de démystifier ce que sont les emplois cyber que l’on propose – tout n’est pas un sujet de technicien – et de créer de l’envie. On ne cherche pas de mouton à cinq pattes ! » martèle Xavier Rebour.
Faire monter en compétence cyber les autres profils
Cette notion revient régulièrement dans les discussions. « Les entreprises mettent enfin les moyens sur la cybersécurité et les attentes des directions générales sont devenues claires. Sauf qu’il y a une latence pour la plupart des entreprises qui n’ont pas les compétences à disposition… et leur réflexe c’est d’aller chercher le profil qui pourrait répondre à tous leurs sujets : un senior à la fois bon technicien, bon communiquant, qui sait mener des projets ambitieux… » analyse Gérôme Billois du cabinet Wavestone, Des « moutons à cinq pattes » introuvables ou presque, qui plombent la stratégie RH de l’entreprise obnubilée. « Aujourd’hui, le conseil c’est plutôt d’aller chercher des jeunes que l’on va former, avec une approche de mentorat qui plait beaucoup. Et en parallèle, il faut absolument développer la mobilité interne.
Beaucoup d’acteurs métiers dans une entreprise peuvent monter en compétence cyber pour pouvoir mener des projets et des programmes, sans devenir pour autant un pentester (expert des tests d’intrusion, ndlr) car ils connaissent déjà très bien l’entreprise » poursuit-il en pointant que l’expression du besoin en termes de compétences est souvent mal définie par les recruteurs et que l’absence de communication adaptée en interne, pour convaincre les acteurs métiers de l’intérêt de ce genre de reconversion, reste aujourd’hui un vrai problème.
La méconnaissance de la variété des métiers de la cybersécurité est frappante, y compris sur le marché de l’emploi qui lui est dédié. L’Anssi épinglait récemment la prolifération d’offres de recrutement qui s’intitulaient seulement « ingénieur cyber » ou « consultant cyber ». « Que signifient ces labels réducteurs ? C’est ce qui se cache derrière qu’il faut faire comprendre » reconnait Nolwenn Le Ster, directrice de la cybersécurité pour Capgemini en France, qui mène actuellement un plan massif de recrutement de 400 talents. Pour elle, une seule recette ne peut pas suffire : « Il faut vraiment prendre le problème de tout côté : faire des fiches de poste et de mission précises et attractives, montrer les possibilités d’évolution et les responsabilités potentielles, mener du re-skilling à partir d’autres métiers de l’informatique, faire voir les parcours de formation continue, pousser l’alternance… ».
Celle qui est également présidente du comité Cybersécurité du syndicat professionnel Numeum appelle à démystifier la vision simpliste qui domine souvent dans le secteur : « Les problématiques cyber sont associées à des postes très geek, très masculins. Or, on peut faire sa carrière en changeant de sujets et de poste tous les deux ans aujourd’hui ! Il y a une vraie richesse dans ce milieu ».
A la découverte de tous les métiers et carrières de la cyber
Hélène Chinal, directrice de la transformation de Capgemini France, constate à quel point le sujet est de toute façon structurel : « A chaque fois qu’il y a un sujet qui monte, il y a pénurie de ressources sur nos marchés du numérique. Donc il faut augmenter l’information, être moteur pour créer de l’envie. En interne et en externe, car le sujet ne s’arrête pas aux bornes de l’entreprise. Il est nécessaire qu’on aille un cran plus haut pour fédérer l’écosystème ».
Ce travail collectif est une nécessité afin d’augmenter la taille du gâteau plutôt que de juste chercher à avoir une plus grosse part. C’est aussi ce qui explique le fort investissement des responsables de Cap Gemini auprès de l’écosystème (Numeum, Campus Cyber, PEC…). Ils mettent par ailleurs en avant le besoin de référentiels harmonisés, développés avec l’Anssi, et la formalisation de plans de carrière pour accompagner les parcours, y compris en passant d’une entité à une autre.
C’est d’ailleurs ce dont témoigne Edouard Jeanson, aujourd’hui vice-président et RSSI de Capgemini France : « Je suis entré en tant que stagiaire en développement en 1998, et depuis j’ai fait du conseil, de l’avant-vente, le développement de notre entité cyber… Cela fait 24 ans que je suis dans l’entreprise et j’ai vu des réalités très différentes. La cybersécurité, ce n’est pas qu’un seul métier, il y a énormément à faire et de possibilités de progression. C’est passionnant intellectuellement.»
La capacité à s’aligner en termes de salaire reste évidemment une épine dans le pied de nombreuses organisations mise sous pression de niveau d’exigences grandissantes. Guillaume Despagne, CEO du spécialiste de l’identité numérique Ariadnext se montre très critique sur le contexte : « Il faut proposer du sens, un projet d’entreprise, une bonne ambiance… mais la question du salaire restera. Et sur ce point, une entreprise ne devrait pas se résoudre de s’aligner systématiquement à la hausse : cela ne résout rien sur les équilibres du marché à long terme et c’est un facteur qui va mettre en porte-à-faux les collaborateurs déjà présents depuis plus longtemps dans l’organisation. Le risque réel est de créer des mercenaires, complètement détachés de la culture d’entreprise, surtout quand les exigences salariales démesurées sont associées à celles sur le télétravail total.
Non, l’enjeu c’est vraiment de recruter mieux et de créer des communs qui fidéliseront ». Un autre responsable de recrutement va plus loin encore dans la critique, épinglant les « exigences de divas » de certains candidats, qui sont délétères pour l’entreprise et intenables sur le moyen terme. Les bénéfices de court termes d’avoir attiré un profil rare se retournent alors souvent contre l’organisation dans les 18 mois qui suivent, quand le talent en question migre ailleurs.
Investir dans l’avenir
Recruter différemment, recruter mieux ; ces mots qui reviennent largement, passent donc aujourd’hui beaucoup par la formation de jeunes, notamment pris en alternance. « J’ai été spécifiquement engagé pour développer de nouveaux leviers de recrutement l’an dernier. C’est un travail de fond. On teste des modèles différents » témoigne Béatrice Marie-Westwood, chief administration officer de la start-up CT Square, dont les bureaux sont basés à Paris et à Rennes, deux bassins de l’emploi surexploités, notamment par les grands groupes. Créée en 2019, la jeune pousse s’appuie sur des alternants pour ses profils développeur, auditeur SSI, analyste SOC… Mais elle tâtonne encore sur la meilleure façon de les intégrer : « Nous avons testés des alternances de trois ans et d’un an. Mais trois ans, c’est trop : on se retrouve avec quelqu’un qui s’interroge beaucoup sur l’avenir et sur la longueur de son alternance.
Par contre, après un an, nous avons signé un CDI directement ensuite. Je pense que dans une optique de recrutement, il faut partir sur maximum deux ans d’alternance. Mais pour l’entreprise, former à la cyber des profils qui viennent de l’informatique, par exemple d’IUT, est très intéressant au bout de deux ou trois mois seulement. D’autant plus que c’est un investissement sur le futur : ces profils nous recommanderont ensuite auprès de l’école et d’autres étudiants » explique Béatrice Marie-Westwood. Reste que pour capter les profils, il faut que l’entreprise soit « super réactive » reconnait la responsable.
D’où l’intérêt d’avoir une stratégie RH affirmée, des ambassadeurs (internes ou externes) et un responsable recrutement qui va se dédier à l’activation de tous les leviers possibles pour attirer. Et de ne pas oublier qu’en cybersécurité, la force de l’écosystème dans son ensemble est une grande composante de la performance individuelle des organisations : autrement dit, rien ne sert de vouloir attirer à soi tous les talents d’une zone, si c’est pour mettre en difficulté ses partenaires, ses prestataires et ses clients, dont les systèmes deviennent de plus interconnectés avec les siens. Un impératif qu’Olivier Ligneul d’EDF résume simplement : « La situation va durer, le mieux à faire c’est d’apprendre à se coordonner en bonne intelligence pour avoir une situation globale la plus équilibrée possible ».